Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Transfer Family
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS Transfer Family. Los siguientes temas muestran cómo configurarlo AWS Transfer Family para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS Transfer Family recursos.
Ofrecemos un taller que proporciona orientación prescriptiva y un laboratorio práctico sobre cómo crear una arquitectura de transferencia de archivos segura y escalable AWS sin necesidad de modificar las aplicaciones existentes ni administrar la infraestructura de servidores. Puede ver los detalles de este taller [aquí](https://catalog.workshops.aws/basic-security-workshop-transfer-family/en-US).
**Topics**
+ [Ventajas de la seguridad de la conectividad de las VPC](#vpc-connectivity-security)
+ [Políticas de seguridad para servidores AWS Transfer Family](security-policies.md)
+ [AWS Transfer Family Políticas de seguridad para conectores SFTP](security-policies-connectors.md)
+ [Uso del intercambio híbrido de claves poscuánticas con AWS Transfer Family](post-quantum-security-policies.md)
+ [Protección y cifrado de datos](encryption-at-rest.md)
+ [Administración de claves SSH y PGP en Transfer Family](key-management.md)
+ [Administración de identidad y acceso para AWS Transfer Family](security-iam.md)
+ [Validación de conformidad para AWS Transfer Family](transfer-compliance.md)
+ [Resiliencia en AWS Transfer Family](disaster-recovery-resiliency.md)
+ [Cree una conexión privada entre una VPC y AWS Transfer Family APIs](vpc-api-endpoints.md)
+ [Seguridad de la infraestructura en AWS Transfer Family](infrastructure-security.md)
+ [Agregue un cortafuegos de aplicaciones web](web-application-firewall.md)
+ [Prevención de la sustitución confusa entre servicios](confused-deputy.md)
+ [AWS políticas gestionadas para AWS Transfer Family](security-iam-awsmanpol.md)
## Ventajas de la seguridad de la conectividad de las VPC
Los conectores SFTP con salida de VPC ofrecen beneficios de seguridad mejorados mediante el acceso a los recursos entre VPC:
+ **Aislamiento de la red**: todo el tráfico permanece dentro del entorno de VPC, lo que proporciona un aislamiento total de la red de Internet pública para las conexiones de puntos finales privados.
+ **Control de IP de origen**: los servidores SFTP remotos solo ven las direcciones IP del rango CIDR de su VPC, lo que le da un control total sobre las direcciones IP de origen utilizadas para las conexiones.
+ **Acceso a terminales privados**: Conéctese directamente a los servidores SFTP de su VPC mediante direcciones IP privadas, lo que elimina la exposición a la Internet pública.
+ **Conectividad híbrida**: acceda de forma segura a los servidores SFTP locales a través de conexiones VPN o Direct Connect establecidas sin exposición adicional a Internet.
+ **Controles de seguridad de VPC**: aproveche los grupos de seguridad de VPC y las políticas de enrutamiento NACLs existentes para controlar y monitorear el tráfico de los conectores SFTP.
### Modelo de seguridad VPC Lattice
La conectividad de VPC para los conectores SFTP utiliza AWS VPC Lattice con redes de servicio para proporcionar un acceso seguro a múltiples inquilinos:
+ **Prevención de problemas de subcontratación**: las comprobaciones de autenticación y autorización garantizan que los conectores solo puedan acceder a los recursos específicos para los que están configurados, lo que evita el acceso no autorizado entre inquilinos.
+ **IPv6-red de servicio exclusiva**: utiliza el IPv6 direccionamiento para evitar posibles conflictos de direcciones IP y mejorar el aislamiento de seguridad.
+ **Sesión de acceso directo (FAS)**: la gestión temporal de credenciales elimina la necesidad de almacenar las credenciales a largo plazo o de compartir recursos manualmente.
+ **Control de acceso a nivel de recursos**: cada conector está asociado a una configuración de recursos específica, lo que garantiza un control de acceso detallado a los servidores SFTP individuales.
### Mejores prácticas de seguridad para la conectividad de VPC
Cuando utilice conectores de tipo salida de VPC, siga estas prácticas recomendadas de seguridad:
+ **Grupos de seguridad**: configure los grupos de seguridad para permitir el tráfico SFTP (puerto 22) solo entre los recursos necesarios. Restrinja los rangos de IP de origen y destino al mínimo requerido.
+ **Ubicación de las puertas de enlace** de recursos: implemente las puertas de enlace de recursos en subredes privadas siempre que sea posible y asegúrese de que abarquen al menos dos zonas de disponibilidad para una alta disponibilidad.
+ **Supervisión de la red**: utilice los registros de flujo de VPC y Amazon CloudWatch para supervisar los patrones de tráfico de la red y detectar actividades anómalas.
+ Registro de **acceso: habilite el registro** de conectores para realizar un seguimiento de las actividades de transferencia de archivos y mantener registros de auditoría para cumplir con los requisitos de conformidad.
+ **Administración de la configuración de los recursos**: revise y actualice periódicamente las configuraciones de los recursos para asegurarse de que apuntan a los servidores SFTP correctos y utilizan la configuración de red adecuada.
# Políticas de seguridad para servidores AWS Transfer Family
Las políticas de seguridad del servidor AWS Transfer Family le permiten limitar el conjunto de algoritmos criptográficos (códigos de autenticación de mensajes (MACs), intercambios de claves (KEXs), conjuntos de cifrado, cifrados de contenido y algoritmos de hash) asociados a su servidor.
AWS Transfer Family admite políticas de seguridad poscuántica que utilizan algoritmos híbridos de intercambio de claves, combinando métodos criptográficos tradicionales con algoritmos poscuánticos para proporcionar una mayor seguridad contra las futuras amenazas de la computación cuántica. Los detalles se proporcionan en. [Uso del intercambio híbrido de claves poscuánticas con AWS Transfer Family](post-quantum-security-policies.md)
Para consultar una lista de los algoritmos criptográficos admitidos, consulte [Algoritmos criptográficos](#cryptographic-algorithms). Para obtener una lista de los algoritmos clave admitidos para su uso con las claves del host del servidor y las claves de usuario administradas por el servicio, consulte [Administración de claves SSH y PGP en Transfer Family](key-management.md).
**nota**
Recomendamos encarecidamente actualizar sus servidores a nuestra política de seguridad más reciente.
`TransferSecurityPolicy-2024-01`es la política de seguridad predeterminada que se adjunta al servidor al crear un servidor mediante la consola, la API o la CLI.
Si crea un servidor Transfer Family utilizando CloudFormation y acepta la política de seguridad predeterminada, se asigna el servidor`TransferSecurityPolicy-2018-11`.
Si le preocupa la compatibilidad de los clientes, indique afirmativamente qué política de seguridad desea utilizar al crear o actualizar un servidor en lugar de utilizar la política predeterminada, que está sujeta a cambios. Para cambiar la política de seguridad de un servidor, consulte[Editar la política de seguridad](edit-server-config.md#edit-cryptographic-algorithm).
Para obtener más información sobre la seguridad de Transfer Family, consulta las siguientes entradas del blog:
+ [Seis consejos para mejorar la seguridad de su AWS Transfer Family servidor](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/)
+ [Cómo Transfer Family puede ayudarlo a crear una solución de transferencia de archivos gestionada segura y compatible](https://aws.amazon.com/blogs/security/how-transfer-family-can-help-you-build-a-secure-compliant-managed-file-transfer-solution/)
**Topics**
+ [Algoritmos criptográficos](#cryptographic-algorithms)
+ [TransferSecurityPolicy-2024-01](#security-policy-transfer-2024-01)
+ [TransferSecurityPolicy- -2025-02 SshAuditCompliant](#security-policy-transferSecurityPolicy-SshAuditCompliant-2025-02)
+ [TransferSecurityPolicy-2023-05](#security-policy-transfer-2023-05)
+ [TransferSecurityPolicy-2022-03](#security-policy-transfer-2022-03)
+ [TransferSecurityPolicy-2020-06 y -Restringido- 2020-06 TransferSecurityPolicy](#security-policy-transfer-2020-06)
+ [TransferSecurityPolicy-2018-11 TransferSecurityPolicy y -Restricted-2018-11](#security-policy-transfer-2018-11)
+ [TransferSecurityPolicyTransferSecurityPolicy-FIPS-2024-01/ -FIPS-2024-05](#security-policy-transfer-fips-2024-01)
+ [TransferSecurityPolicy-FIPS-2023-05](#security-policy-transfer-fips-2023-05)
+ [TransferSecurityPolicy-FIPS-2020-06](#security-policy-transfer-fips-2020-06)
+ [TransferSecurityPolicyAS2- Restringido: 2025-07](#as2-restricted-policy)
+ [Políticas de seguridad poscuánticas](#pq-policies)
## Algoritmos criptográficos
Para las claves de host, admitimos los siguientes algoritmos:
+ `rsa-sha2-256`
+ `rsa-sha2-512`
+ `ecdsa-sha2-nistp256`
+ `ecdsa-sha2-nistp384`
+ `ecdsa-sha2-nistp521`
+ `ssh-ed25519`
Además, las siguientes políticas de seguridad permiten`ssh-rsa`:
+ TransferSecurityPolicy-2018-11
+ TransferSecurityPolicy-2020-06
+ TransferSecurityPolicy-FIPS-2020-06
+ TransferSecurityPolicy-FIPS-2023-05
+ TransferSecurityPolicy-FIPS-2024-01
+ TransferSecurityPolicy-PQ-SSH-FIPS-Experimental-2023-04
**nota**
Es importante entender la diferencia entre el tipo de clave RSA (que es siempre`ssh-rsa`) y el algoritmo de clave host de RSA, que puede ser cualquiera de los algoritmos compatibles.
La siguiente es una lista de los algoritmos criptográficos admitidos con cada política de seguridad.
**nota**
En la tabla y las políticas siguientes, anote el siguiente uso de los tipos de algoritmos.
Los servidores SFTP solo utilizan algoritmos en las **SshMacs**secciones **SshCiphers**SshKexs****, y.
Los servidores FTPS solo utilizan los algoritmos de la **TlsCiphers**sección.
Los servidores FTP, dado que no utilizan cifrado, no utilizan ninguno de estos algoritmos.
AS2 los servidores solo utilizan algoritmos en las **HashAlgorithms**secciones **ContentEncryptionCiphers**y. En estas secciones se definen los algoritmos que se utilizan para cifrar y firmar el contenido de los archivos.
Las políticas de seguridad FIPS-2024-05 y FIPS-2024-01 son idénticas, excepto que FIPS-2024-05 no admite el algoritmo. `ssh-rsa`
Transfer Family ha introducido nuevas políticas restringidas que son muy paralelas a las políticas existentes:
Las políticas de seguridad TransferSecurityPolicy -Restricted-2018-11 y TransferSecurityPolicy -2018-11 son idénticas, excepto que la política restringida no admite el cifrado. `chacha20-poly1305@openssh.com`
Las políticas de seguridad TransferSecurityPolicy -Restricted-2020-06 y TransferSecurityPolicy -2020-06 son idénticas, con la salvedad de que la política restringida no admite el cifrado. `chacha20-poly1305@openssh.com`
\$1 En la siguiente tabla, el cifrado se incluye únicamente en la política no restringida, `chacha20-poly1305@openssh.com`
| Política de seguridad | 2024-01 | SshAuditCompliant-2025-02 | 2023-05 | 2022-03 | **2020-06** **2020-06 restringido** | **FIPS-2024-05** **FIPS-2024-01** | FIPS-2023-05 | FIPS-2020-06 | **2018-11** **2018-11 restringido** | TransferSecurityPolicy- AS2 Restringido: 2025-07 |
| --- |--- |--- |--- |--- |--- |--- |--- |--- |--- |--- |
| **SshCiphers** |
| --- |
| aes128-ctr | ♦ | ♦ | | | ♦ | ♦ | | ♦ | ♦ | ♦ |
| aes128-gcm@openssh.com | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes192-ctr | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes256-ctr | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes256-gcm@openssh.com | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| chacha20-poly1305@openssh.com | | | | | ♦\$1 | | | | ♦\$1 | |
| **SshKexs** |
| --- |
| mlkem768x25519-sha256 | | | | | | | | | | ♦ |
| mlkem768nistp256-sha256 | | | | | | | | | | ♦ |
| mlkem1024nistp384-sha384 | | | | | | | | | | ♦ |
| curva 25519-sha256 | ♦ | ♦ | ♦ | ♦ | | | | | ♦ | ♦ |
| curve25519-sha256@libssh.org | ♦ | ♦ | ♦ | ♦ | | | | | ♦ | ♦ |
| diffie-hellman-group14-sha1 | | | | | | | | | ♦ | |
| diffie-hellman-group14-sha256 | | | | | ♦ | | | ♦ | ♦ | |
| diffie-hellman-group16-sha512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| diffie-hellman-group18-sha512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| diffie-hellman-group-exchange-sha256 | ♦ | ♦ | ♦ | ♦ | ♦ | | ♦ | ♦ | ♦ | ♦ |
| ecdh-sha2-nistp256 | ♦ | | | | ♦ | ♦ | | ♦ | ♦ | ♦ |
| ecdh-sha2-nistp384 | ♦ | | | | ♦ | ♦ | | ♦ | ♦ | ♦ |
| ecdh-sha2-nistp521 | ♦ | | | | ♦ | ♦ | | ♦ | ♦ | ♦ |
| **SshMacs** |
| --- |
| hmac-sha1 | | | | | | | | | ♦ | |
| hmac-sha1-etm@openssh.com | | | | | | | | | ♦ | |
| hmac-sha2-256 | | | | ♦ | ♦ | | | ♦ | ♦ | |
| hmac-sha2-256-etm@openssh.com | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| hmac-sha2-512 | | | | ♦ | ♦ | | | ♦ | ♦ | |
| hmac-sha2-512-etm@openssh.com | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| umac-128-etm@openssh.com | | | | | ♦ | | | | ♦ | |
| umac-128@openssh.com | | | | | ♦ | | | | ♦ | |
| umac-64-etm@openssh.com | | | | | | | | | ♦ | |
| umac-64@openssh.com | | | | | | | | | ♦ | |
| **ContentEncryptionCiphers** |
| --- |
| aes256-cbc | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes192-cbc | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes128-cbc | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| 3des-cbc | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | |
| **HashAlgorithms** |
| --- |
| sha256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| sha384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| sha512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| sha1 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | |
| **TlsCiphers** |
| --- |
| TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1GCM\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1GCM\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1RSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | | | | | | | | | ♦ | |
| TLS\$1RSA\$1CON\$1AES\$1256\$1CBC\$1 SHA256 | | | | | | | | | ♦ | |
## TransferSecurityPolicy-2024-01
A continuación se muestra la política de seguridad TransferSecurityPolicy -2024-01.
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2024-01",
"SshCiphers": [
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group18-sha512",
"diffie-hellman-group16-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc",
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512",
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy- -2025-02 SshAuditCompliant
A continuación se muestra la política de seguridad TransferSecurityPolicy - SshAuditCompliant -2025-02.
**nota**
Esta política de seguridad está diseñada en función de las recomendaciones proporcionadas por la `ssh-audit` herramienta y es 100% compatible con esa herramienta.
```
{
"SecurityPolicy": {
"Fips": false,
"Protocols": [
"SFTP",
"FTPS"
],
"SecurityPolicyName": "TransferSecurityPolicy-SshAuditCompliant-2025-02",
"SshCiphers": [
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group18-sha512",
"diffie-hellman-group16-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc",
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512",
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER"
}
}
```
## TransferSecurityPolicy-2023-05
A continuación se muestra la política de seguridad de TransferSecurityPolicy -2023-05.
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2023-05",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-512-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc",
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512",
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-2022-03
A continuación se muestra la política de seguridad del TransferSecurityPolicy -2022-03.
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2022-03",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-512-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512",
"hmac-sha2-256"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc",
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-2020-06 y -Restringido- 2020-06 TransferSecurityPolicy
A continuación se muestra la política de seguridad de la versión TransferSecurityPolicy -2020-06.
**nota**
Las políticas de seguridad TransferSecurityPolicy -Restricted-2020-06 y TransferSecurityPolicy -2020-06 son idénticas, excepto que la política restringida no admite el cifrado. `chacha20-poly1305@openssh.com`
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2020-06",
"SshCiphers": [
"chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2020-06
"aes128-ctr",
"aes192-ctr",
"aes256-ctr",
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com"
],
"SshKexs": [
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group-exchange-sha256",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group14-sha256"
],
"SshMacs": [
"umac-128-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com",
"umac-128@openssh.com",
"hmac-sha2-256",
"hmac-sha2-512"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc",
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-2018-11 TransferSecurityPolicy y -Restricted-2018-11
A continuación se muestra la política de seguridad del modelo TransferSecurityPolicy -2018-11.
**nota**
Las políticas de seguridad TransferSecurityPolicy -Restricted-2018-11 y TransferSecurityPolicy -2018-11 son idénticas, con la salvedad de que la política restringida no admite el cifrado. `chacha20-poly1305@openssh.com`
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2018-11",
"SshCiphers": [
"chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2018-11
"aes128-ctr",
"aes192-ctr",
"aes256-ctr",
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com"
],
"SshKexs": [
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group-exchange-sha256",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group14-sha256",
"diffie-hellman-group14-sha1"
],
"SshMacs": [
"umac-64-etm@openssh.com",
"umac-128-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com",
"hmac-sha1-etm@openssh.com",
"umac-64@openssh.com",
"umac-128@openssh.com",
"hmac-sha2-256",
"hmac-sha2-512",
"hmac-sha1"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc",
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512",
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384",
"TLS_RSA_WITH_AES_128_CBC_SHA256",
"TLS_RSA_WITH_AES_256_CBC_SHA256"
]
}
}
```
## TransferSecurityPolicyTransferSecurityPolicy-FIPS-2024-01/ -FIPS-2024-05
A continuación se muestran las políticas de seguridad -FIPS-2024-01 y TransferSecurityPolicy -FIPS-2024-05. TransferSecurityPolicy
**nota**
El punto final del servicio FIPS y las políticas de seguridad -FIPS-2024-01 y -FIPS-2024-05 solo están disponibles en algunas regiones. TransferSecurityPolicy TransferSecurityPolicy AWS Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Transfer Family](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) en la *Referencia general de AWS*.
La única diferencia entre estas dos políticas de seguridad es que -FIPS-2024-01 es compatible con el algoritmo y -FIPS-2024-05 no. TransferSecurityPolicy `ssh-rsa` TransferSecurityPolicy
```
{
"SecurityPolicy": {
"Fips": true,
"SecurityPolicyName": "TransferSecurityPolicy-FIPS-2024-01",
"SshCiphers": [
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group18-sha512",
"diffie-hellman-group16-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-FIPS-2023-05
Los detalles de la certificación FIPS se encuentran en AWS Transfer Family [https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all](https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all)
A continuación se muestra la política de seguridad TransferSecurityPolicy -FIPS-2023-05.
**nota**
El punto final del servicio FIPS y la política de seguridad TransferSecurityPolicy -FIPS-2023-05 solo están disponibles en algunas regiones. AWS Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Transfer Family](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) en la *Referencia general de AWS*.
```
{
"SecurityPolicy": {
"Fips": true,
"SecurityPolicyName": "TransferSecurityPolicy-FIPS-2023-05",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-FIPS-2020-06
Los detalles de la certificación FIPS se encuentran en AWS Transfer Family [https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all](https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all)
A continuación se muestra la política de seguridad TransferSecurityPolicy -FIPS-2020-06.
**nota**
El punto final del servicio FIPS y la política de seguridad TransferSecurityPolicy -FIPS-2020-06 solo están disponibles en algunas regiones. AWS Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Transfer Family](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) en la *Referencia general de AWS*.
```
{
"SecurityPolicy": {
"Fips": true,
"SecurityPolicyName": "TransferSecurityPolicy-FIPS-2020-06",
"SshCiphers": [
"aes128-ctr",
"aes192-ctr",
"aes256-ctr",
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com"
],
"SshKexs": [
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group-exchange-sha256",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group14-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com",
"hmac-sha2-256",
"hmac-sha2-512"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc",
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1",
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicyAS2- Restringido: 2025-07
Esta política de seguridad está diseñada para las transferencias de AS2 archivos que requieren una seguridad mejorada al excluir los algoritmos criptográficos heredados. Es compatible con el cifrado AES moderno y los algoritmos de hash SHA-2, al tiempo que elimina la compatibilidad con algoritmos más débiles, como el 3DES y el SHA-1.
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-AS2Restricted-2025-07",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"mlkem768x25519-sha256",
"mlkem768nistp256-sha256",
"mlkem1024nistp384-sha384",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER",
"Protocols": [
"AS2"
]
}
}
```
## Políticas de seguridad poscuánticas
En esta tabla, se enumeran los algoritmos de las políticas de seguridad poscuántica de Transfer Family. Estas políticas se describen en detalle en [Uso del intercambio híbrido de claves poscuánticas con AWS Transfer Family](post-quantum-security-policies.md).
La lista de políticas sigue la tabla.
**nota**
**Las políticas postcuánticas anteriores (-PQ-SSH-Experimental-2023-04 y **TransferSecurityPolicy-PQ-SSH-FIPS-Experimental-2023-04) están en desuso**. TransferSecurityPolicy** Le recomendamos que utilice las nuevas políticas en su lugar.
| Política de seguridad | TransferSecurityPolicy-2025-03 | TransferSecurityPolicy-FIPS-2025-03 |
| --- |--- |--- |
| **SSH ciphers** |
| --- |
| aes128-ctr | ♦ | ♦ |
| aes128-gcm@openssh.com | ♦ | ♦ |
| aes192-ctr | ♦ | ♦ |
| aes256-ctr | ♦ | ♦ |
| aes256-gcm@openssh.com | ♦ | ♦ |
| **KEXs** |
| --- |
| mlkem768x25519-sha256 | ♦ | ♦ |
| mlkem768nistp256-sha256 | ♦ | ♦ |
| mlkem1024nistp384-sha384 | ♦ | ♦ |
| diffie-hellman-group14-sha256 | ♦ | ♦ |
| diffie-hellman-group16-sha512 | ♦ | ♦ |
| diffie-hellman-group18-sha512 | ♦ | ♦ |
| ecdh-sha2-nistp384 | ♦ | ♦ |
| ecdh-sha2-nistp521 | ♦ | ♦ |
| ecdh-sha2-nistp256 | ♦ | ♦ |
| diffie-hellman-group-exchange-sha256 | ♦ | ♦ |
| curve25519-sha256@libssh.org | ♦ | |
| curva 25519-sha256 | ♦ | |
| **MACs** |
| --- |
| hmac-sha2-256-etm@openssh.com | ♦ | ♦ |
| hmac-sha2-512-etm@openssh.com | ♦ | ♦ |
| **ContentEncryptionCiphers** |
| --- |
| aes256-cbc | ♦ | ♦ |
| aes192-cbc | ♦ | ♦ |
| aes128-cbc | ♦ | ♦ |
| 3des-cbc | ♦ | ♦ |
| **HashAlgorithms** |
| --- |
| sha256 | ♦ | ♦ |
| sha384 | ♦ | ♦ |
| sha512 | ♦ | ♦ |
| sha1 | ♦ | ♦ |
| **TLS ciphers** |
| --- |
| TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1128\$1GCM\$1 SHA256 | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384 | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384 | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1CBC\$1 SHA256 | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1128\$1GCM\$1 SHA256 | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1CBC\$1 SHA384 | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384 | ♦ | ♦ |
### TransferSecurityPolicy-2025-03
A continuación se muestra la política de seguridad de TransferSecurityPolicy -2025-03.
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2025-03",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"mlkem768x25519-sha256",
"mlkem768nistp256-sha256",
"mlkem1024nistp384-sha384",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER",
"Protocols": [
"SFTP",
"FTPS"
]
}
}
```
### TransferSecurityPolicy-FIPS-2025-03
A continuación se muestra la política de seguridad -FIPS-2025-03. TransferSecurityPolicy
```
{
"SecurityPolicy": {
"Fips": true,
"SecurityPolicyName": "TransferSecurityPolicy-FIPS-2025-03",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes256-ctr",
"aes192-ctr",
"aes128-ctr"
],
"SshKexs": [
"mlkem768x25519-sha256",
"mlkem768nistp256-sha256",
"mlkem1024nistp384-sha384",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group-exchange-sha256",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512"
],
"SshMacs": [
"hmac-sha2-512-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER",
"Protocols": [
"SFTP",
"FTPS"
]
}
}
```
### TransferSecurityPolicy- AS2 Restringido: 2025-07
A continuación se muestra la política de seguridad: Restricted-2025-07. TransferSecurityPolicy AS2
**nota**
Esta política de seguridad es idéntica a la TransferSecurityPolicy -2025-03, con la salvedad de que no admite 3DES (de entrada) ni de entrada. ContentEncryptionCiphers SHA1 HashAlgorithms Incluye todos los algoritmos de 2025-03, incluidos los algoritmos criptográficos poscuánticos (mlkem\$1). KEXs
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-AS2Restricted-2025-07",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"mlkem768x25519-sha256",
"mlkem768nistp256-sha256",
"mlkem1024nistp384-sha384",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER",
"Protocols": [
"SFTP",
"FTPS"
]
}
}
```
# AWS Transfer Family Políticas de seguridad para conectores SFTP
Las políticas de seguridad del conector SFTP AWS Transfer Family permiten limitar el conjunto de algoritmos criptográficos (códigos de autenticación de mensajes (MACs), intercambios de claves (KEXs) y conjuntos de cifrado) asociados al conector SFTP. La siguiente es una lista de los algoritmos criptográficos compatibles con cada política de seguridad del conector SFTP.
**nota**
`TransferSFTPConnectorSecurityPolicy-2024-03`es la política de seguridad predeterminada que se aplica a los conectores SFTP.
Puede cambiar la política de seguridad del conector. Seleccione **Connectors** en el panel de navegación izquierdo de Transfer Family y seleccione su conector. A continuación, seleccione **Editar** en la sección de **configuración de Sftp**. En la sección de **opciones de algoritmos criptográficos**, elija cualquier política de seguridad disponible en la lista desplegable del campo Política de **seguridad**.
## Algoritmos criptográficos
En cuanto a las claves de host, los conectores SFTP admiten todos los algoritmos compatibles con los servidores Transfer Family, excepto ed25519:
+ `rsa-sha2-256`
+ `rsa-sha2-512`
+ `ecdsa-sha2-nistp256`
+ `ecdsa-sha2-nistp384`
+ `ecdsa-sha2-nistp521`
Además, admitimos las claves de host`ssh-rsa`, pero solo para. `TransferSFTPConnectorSecurityPolicy-2023-07`
Para la autenticación, los conectores SFTP admiten los siguientes tipos de claves:
+ `ssh-rsa`
+ `ecdsa`
## Detalles de la política de seguridad del conector SFTP
En la siguiente tabla se muestran los algoritmos criptográficos específicos compatibles con cada política de seguridad de los conectores SFTP.
| Política de seguridad | Transferencia -FIPS-2024-10 SFTPConnector SecurityPolicy | Transferencia SFTPConnector SecurityPolicy -2024-03 | Transferencia -2023-07 SFTPConnector SecurityPolicy |
| --- |--- |--- |--- |
| **Ciphers** |
| --- |
| aes128-ctr | | | ♦ |
| aes128-gcm@openssh.com | ♦ | ♦ | ♦ |
| aes192-ctr | | ♦ | ♦ |
| aes256-ctr | | ♦ | ♦ |
| aes256-gcm@openssh.com | ♦ | ♦ | ♦ |
| **Kexs** |
| --- |
| curva 25519-sha256 | | ♦ | ♦ |
| curve25519-sha256@libssh.org | | ♦ | ♦ |
| diffie-hellman-group14-sha1 | | | ♦ |
| diffie-hellman-group16-sha512 | | ♦ | ♦ |
| diffie-hellman-group18-sha512 | | ♦ | ♦ |
| diffie-hellman-group-exchange-sha256 | | ♦ | ♦ |
| ecdh-sha2-nistp256 | ♦ | | |
| ecdh-sha2-nistp384 | ♦ | | |
| ecdh-sha2-nistp521 | ♦ | | |
| **Macs** |
| --- |
| hmac-sha2-512-etm@openssh.com | | ♦ | ♦ |
| hmac-sha2-256-etm@openssh.com | | ♦ | ♦ |
| hmac-sha2-512 | ♦ | ♦ | ♦ |
| hmac-sha2-256 | ♦ | ♦ | ♦ |
| hmac-sha1 | | | ♦ |
| hmac-sha1-96 | | | ♦ |
| **Host Key Algorithms** |
| --- |
| rsa-sha2-256 | ♦ | ♦ | ♦ |
| rsa-sha2-512 | ♦ | ♦ | ♦ |
| ecdsa-sha2-nistp256 | ♦ | ♦ | ♦ |
| ecdsa-sha2-nistp384 | | ♦ | ♦ |
| ecdsa-sha2-nistp521 | | ♦ | ♦ |
| ssh-rsa | | | ♦ |
# Uso del intercambio híbrido de claves poscuánticas con AWS Transfer Family
Transfer Family admite una opción híbrida de establecimiento de claves poscuánticas para el protocolo Secure Shell (SSH). El establecimiento de claves poscuánticas es necesario porque ya es posible registrar el tráfico de la red y guardarlo para su descifrado en el futuro mediante un ordenador cuántico, lo que se denomina ataque. *store-now-harvest-later*
Puede utilizar esta opción cuando se conecte a Transfer Family para realizar transferencias de archivos seguras hacia y desde el almacenamiento de Amazon Simple Storage Service (Amazon S3) o Amazon Elastic File System (Amazon EFS). El establecimiento híbrido de claves poscuánticas en SSH introduce mecanismos de establecimiento de claves poscuánticas, que utiliza junto con los algoritmos de intercambio de claves clásicos. Con la tecnología actual, las claves SSH creadas con los conjuntos de cifrado clásicos están a salvo de los ataques de fuerza bruta con tecnología actual. Sin embargo, no se espera que el cifrado clásico siga siendo seguro tras la aparición de la computación cuántica a gran escala en el futuro.
Si su organización depende de la confidencialidad a largo plazo de los datos que se transmiten a través de una conexión de Transfer Family, debería considerar un plan para migrar a la criptografía poscuántica antes de que las computadoras cuánticas a gran escala estén disponibles para su uso.
Para proteger los datos cifrados hoy contra posibles ataques futuros, AWS participa con la comunidad criptográfica en el desarrollo de algoritmos cuánticos resistentes o poscuánticos. Hemos implementado conjuntos de cifrado de intercambio de claves híbrido poscuántico en Transfer Family que combinan elementos clásicos y poscuánticos.
Estos conjuntos de cifrado híbridos están disponibles para su uso en las cargas de trabajo de producción en la mayoría de las regiones de AWS . Sin embargo, dado que las características de rendimiento y los requisitos de ancho de banda de los conjuntos de cifrado híbridos son diferentes de los mecanismos clásicos de intercambio de claves, le recomendamos que los pruebe en sus conexiones de Transfer Family.
Obtenga más información sobre la criptografía poscuántica en la entrada del blog sobre la [criptografía poscuántica](https://aws.amazon.com/security/post-quantum-cryptography/).
**Contents**
+ [Acerca del intercambio de claves híbrido poscuántico en SSH](#pq-about-key-exchange)
+ [Cómo funciona el establecimiento de claves híbrido poscuántico en Transfer Family](#pqtls-details)
+ [¿Por qué ML-KEM?](#why-mlkem)
+ [Requisitos criptográficos y de intercambio de claves híbrido poscuántico SSH (FIPS 140)](#pq-alignment)
+ [Prueba del intercambio de claves híbrido poscuántico en Transfer Family](#pq-policy-testing)
+ [Habilite el intercambio de claves híbrido poscuántico en su punto de conexión SFTP](#pq-enable-policy)
+ [Configuración de un cliente SFTP que admita el intercambio de claves híbrido poscuántico](#pq-client-openssh)
+ [Confirmación del intercambio de claves híbrido poscuántico en SFTP](#pq-verify-exchange)
## Acerca del intercambio de claves híbrido poscuántico en SSH
Transfer Family admite conjuntos de cifrado de intercambio de claves híbridos poscuánticos, que utilizan tanto el clásico algoritmo de intercambio de claves [Elliptic Curve Diffie-Hellman (ECDH](https://csrc.nist.gov/publications/detail/sp/800-56a/rev-3/final)) como el ML-KEM. El ML-KEM es un algoritmo poscuántico de cifrado y establecimiento de claves públicas que el Instituto [Nacional](https://csrc.nist.gov/projects/post-quantum-cryptography) de Estándares y Tecnología (NIST) ha designado como su primer algoritmo estándar de acuerdo de claves poscuánticas.
El cliente y el servidor siguen intercambiando claves ECDH. Además, el servidor encapsula un secreto compartido poscuántico en la clave pública KEM poscuántica del cliente, que se anuncia en el mensaje de intercambio de claves SSH del cliente. Esta estrategia combina la alta seguridad de un intercambio de claves clásico con la seguridad de los intercambios de claves poscuánticos propuestos para ayudar a garantizar que los protocolos de enlace estén protegidos mientras no se pueda descifrar el ECDH o el secreto compartido poscuántico.
## Cómo funciona el establecimiento de claves híbrido poscuántico en Transfer Family
AWS anunció recientemente la compatibilidad con el intercambio de claves poscuánticas en las transferencias de archivos SFTP. AWS Transfer Family Transfer Family escala de forma segura las transferencias de business-to-business archivos a los servicios de AWS almacenamiento mediante SFTP y otros protocolos. SFTP es una versión más segura del Protocolo de File Transfer (FTP) que se ejecuta a través de SSH. La compatibilidad de intercambio de claves poscuántico de Transfer Family eleva el nivel de seguridad para las transferencias de datos a través de SFTP.
El soporte SFTP de intercambio de claves híbrido poscuántico de Transfer Family incluye la combinación de los algoritmos poscuánticos ML-KEM-768 y ML-KEM-1024, con ECDH sobre curvas P256, P384 o Curve25519. Los siguientes métodos de intercambio de claves SSH correspondientes se especifican en [el borrador del intercambio de claves híbrido poscuántico SSH](https://datatracker.ietf.org/doc/draft-kampanakis-curdle-ssh-pq-ke/).
+ `mlkem768nistp256-sha256`
+ `mlkem1024nistp384-sha384`
+ `mlkem768x25519-sha256`
### ¿Por qué ML-KEM?
AWS se compromete a respaldar algoritmos estandarizados e interoperables. [El ML-KEM es el único algoritmo de intercambio de claves poscuánticas estandarizado y aprobado por el proyecto de criptografía poscuántica del NIST.](https://csrc.nist.gov/projects/post-quantum-cryptography) Los organismos de normalización ya están integrando el ML-KEM en los protocolos. AWS ya es compatible con ML-KEM en TLS en algunos puntos finales de API. AWS
Como parte de este compromiso, AWS ha presentado un borrador de propuesta al IETF para la criptografía poscuántica que combina la ML-KEM con curvas aprobadas por el NIST, como la P256 para SSH. Para ayudar a mejorar la seguridad de nuestros clientes, la AWS implementación del intercambio de claves poscuánticas en SFTP y SSH sigue ese borrador. Planeamos admitir actualizaciones futuras hasta que nuestra propuesta sea adoptada por el IETF y se convierta en un estándar.
Los nuevos métodos de intercambio de claves (enumerados en la sección[Cómo funciona el establecimiento de claves híbrido poscuántico en Transfer Family](#pqtls-details)) podrían cambiar a medida que el borrador avance hacia la estandarización.
**nota**
Actualmente, se admite el uso de algoritmos poscuánticos para el intercambio de claves híbridas poscuánticas en TLS AWS KMS (consulte [Uso del TLS poscuántico híbrido con AWS KMS) y puntos finales de API](https://docs.aws.amazon.com/kms/latest/developerguide/pqtls.html).AWS Certificate Manager AWS Secrets Manager
### Requisitos criptográficos y de intercambio de claves híbrido poscuántico SSH (FIPS 140)
Para los clientes que requieren el cumplimiento de FIPS, Transfer Family proporciona criptografía aprobada por FIPS en SSH mediante la biblioteca criptográfica de código abierto con certificación AWS FIPS 140, -LC. AWS Los métodos de intercambio de claves híbridos poscuánticos compatibles con el TransferSecurityPolicy -FIPS-2025-03 de Transfer Family están aprobados por la FIPS [según la norma SP 800-56Cr2 del NIST (sección 2](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Cr2.pdf)). La Oficina Federal de Seguridad de la Información de Alemania ([BSI](https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Quantentechnologien-und-Post-Quanten-Kryptografie/quantentechnologien-und-post-quanten-kryptografie_node.html)) y la Agence nationale de la sécurité des systèmes d'information ([ANSSI](https://www.ssi.gouv.fr/en/publication/anssi-views-on-the-post-quantum-cryptography-transition/)) de Francia también recomiendan estos métodos de intercambio de claves híbrido poscuántico.
## Prueba del intercambio de claves híbrido poscuántico en Transfer Family
En esta sección, se describen los pasos que debe seguir para probar el intercambio de claves híbrido poscuántico.
1. [Habilite el intercambio de claves híbrido poscuántico en su punto de conexión SFTP](#pq-enable-policy).
1. Utilice un cliente SFTP (por ejemplo, [Configuración de un cliente SFTP que admita el intercambio de claves híbrido poscuántico](#pq-client-openssh)) que admita el intercambio de claves híbrido poscuántico siguiendo las instrucciones de la especificación del borrador mencionado anteriormente.
1. Transfiera un archivo mediante un servidor de Transfer Family.
1. [Confirmación del intercambio de claves híbrido poscuántico en SFTP](#pq-verify-exchange).
### Habilite el intercambio de claves híbrido poscuántico en su punto de conexión SFTP
Puede elegir la política SSH al crear un nuevo punto de conexión de servidor SFTP en Transfer Family o al editar las opciones del algoritmo criptográfico en un punto de conexión SFTP existente. En la siguiente instantánea se muestra un ejemplo de cómo actualizar la política de SSH. Consola de administración de AWS
![\[Muestra la política poscuántica seleccionada para las opciones del algoritmo criptográfico.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/post-quantum-policy-choose.png)
**Los nombres de las políticas de SSH que admiten el intercambio de claves poscuánticas son **TransferSecurityPolicy-2025-03 y -FIPS-2025-03**. TransferSecurityPolicy** Para obtener más información sobre las políticas de Transfer Family, consulte [Políticas de seguridad para servidores AWS Transfer Family](security-policies.md).
### Configuración de un cliente SFTP que admita el intercambio de claves híbrido poscuántico
Tras seleccionar la política SSH poscuántica correcta en el punto de conexión SFTP de Transfer Family, puede experimentar con el SFTP poscuántico en Transfer Family. Instale el último cliente OpenSSH (por ejemplo, la versión 9.9) en su sistema local para realizar la prueba.
**nota**
Asegúrese de que su cliente sea compatible con uno o más de los algoritmos ML-KEM enumerados anteriormente. Puede ver los algoritmos compatibles con su versión de OpenSSH ejecutando este comando:. `ssh -Q kex`
Puede ejecutar el cliente SFTP de ejemplo para conectarse a su terminal SFTP (por ejemplo`s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com`) mediante los métodos de intercambio de claves híbridos poscuánticos, como se muestra en el siguiente comando.
```
sftp -v -o \
KexAlgorithms=mlkem768x25519-sha256 \
-i username_private_key_PEM_file \
username@server-id.server.transfer.region-id.amazonaws.com
```
En el siguiente comando, reemplace los elementos siguientes con su propia información:
+ *username\$1private\$1key\$1PEM\$1file*Sustitúyalo por el archivo codificado en PEM de clave privada del usuario de SFTP
+ Sustitúyalo por el nombre de *username* usuario de SFTP
+ *server-id*Sustitúyalo por el ID del servidor de Transfer Family
+ *region-id*Sustitúyalo por la región real en la que se encuentra el servidor de Transfer Family.
### Confirmación del intercambio de claves híbrido poscuántico en SFTP
Para confirmar que se utilizó el intercambio de claves híbrido poscuántico durante una conexión SSH para SFTP a Transfer Family, compruebe la salida del cliente. Si lo desea, puede utilizar un programa de captura de paquetes. Si utiliza el cliente OpenSSH 9.9, el resultado debería tener un aspecto similar al siguiente (omitiendo información irrelevante por motivos de brevedad):
```
% sftp -o KexAlgorithms=mlkem768x25519-sha256 -v -o IdentitiesOnly=yes -i username_private_key_PEM_file username@s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com
OpenSSH_9.9p2, OpenSSL 3.4.1 11 Feb 2025
debug1: Reading configuration data /Users/username/.ssh/config
debug1: /Users/username/.ssh/config line 146: Applying options for *
debug1: Reading configuration data /Users/username/.ssh/bastions-config
debug1: Reading configuration data /opt/homebrew/etc/ssh/ssh_config
debug1: Connecting to s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com [xxx.yyy.zzz.nnn] port 22.
debug1: Connection established.
[...]
debug1: Local version string SSH-2.0-OpenSSH_9.9
debug1: Remote protocol version 2.0, remote software version AWS_SFTP_1.1
debug1: compat_banner: no match: AWS_SFTP_1.1
debug1: Authenticating to s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com:22 as 'username'
debug1: load_hostkeys: fopen /Users/username/.ssh/known_hosts2: No such file or directory
[...]
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: mlkem768x25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: aes128-ctr MAC: hmac-sha2-256-etm@openssh.com compression: none
debug1: kex: client->server cipher: aes128-ctr MAC: hmac-sha2-256-etm@openssh.com compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:Ic1Ti0cdDmFdStj06rfU0cmmNccwAha/ASH2unr6zX0
[...]
debug1: rekey out after 4294967296 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey in after 4294967296 blocks
[...]
Authenticated to s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com ([xxx.yyy.zzz.nnn]:22) using "publickey".
debug1: channel 0: new session [client-session] (inactive timeout: 0)
[...]
Connected to s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com.
sftp>
```
La salida muestra que la negociación con el cliente se llevó a cabo mediante el método híbrido poscuántico `mlkem768x25519-sha256` y que se estableció correctamente una sesión SFTP.
# Protección y cifrado de datos
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS Transfer Family (Transfer Family). Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se basa toda la AWS nube. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. Este contenido incluye las tareas de configuración y administración de la seguridad de AWS los servicios que utiliza. Para obtener más información sobre la privacidad de datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq). Para obtener información sobre la protección de datos en Europa, consulte la publicación del blog [Modelo de responsabilidad compartida de AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) y RGPD en el *blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja las credenciales de las AWS cuentas y configure cuentas de usuario individuales con ellas AWS IAM Identity Center. De esta manera, cada usuario recibe únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de las siguientes maneras:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Úselo SSL/TLS para comunicarse con AWS los recursos. Admitimos TLS 1.2.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de AWS los servicios.
+ Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campo **Nombre**. Esto incluye cuando trabaja con Transfer Family u otros AWS servicios mediante la consola, la API o AWS SDKs. AWS CLI Cualquier dato de configuración que escriba en la configuración del servicio Transfer Family o en las configuraciones de otros servicios se puede incluir en los registros de diagnóstico. Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud para ese servidor.
Por el contrario, los datos de las operaciones de carga y descarga que entran y salen de los servidores de Transfer Family se consideran completamente privados y nunca existen fuera de los canales cifrados, como una conexión SFTP o FTPS. Solo las personas autorizadas pueden acceder a estos datos.
## Cifrado de datos en Transfer Family
AWS Transfer Family utiliza las opciones de cifrado predeterminadas que ha establecido para su bucket de Amazon S3 para cifrar sus datos. Cuando se habilita el cifrado en un bucket, todos los objetos se cifran en el momento de almacenarse en el bucket. Los objetos se cifran mediante el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3) o claves administradas () AWS Key Management Service (SSE-KMS AWS KMS). Para obtener más información sobre el cifrado del servidor, consulte [Protección de datos con el cifrado del lado del servidor](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Los siguientes pasos le muestran cómo cifrar los datos. AWS Transfer Family
**Para permitir el cifrado en AWS Transfer Family**
1. Habilitación del cifrado predeterminado en un bucket de Amazon S3. Para obtener instrucciones, consulte [Cifrado predeterminado de Amazon S3 para los buckets de S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) en la *Guía del usuario de Amazon Simple Storage Service*.
1. Actualice la política de funciones AWS Identity and Access Management (IAM) asociada al usuario para conceder los permisos necesarios AWS Key Management Service (AWS KMS).
1. Si utiliza una política de sesión para el usuario, la política de sesión debe conceder los AWS KMS permisos necesarios.
El siguiente ejemplo muestra una política de IAM que concede los permisos mínimos necesarios cuando se utiliza AWS Transfer Family con un bucket de Amazon S3 que está habilitado para el AWS KMS cifrado. Incluya esta política de ejemplo en la política del rol de IAM del usuario y en la política de ámbito reducido, si utiliza alguna.
```
{
"Sid": "Stmt1544140969635",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GetPublicKey",
"kms:ListKeyPolicies"
],
"Effect": "Allow",
"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
```
**nota**
El ID de clave de KMS especificado en esta política debe ser el mismo que el especificado para el cifrado predeterminado en el paso 1.
La política AWS KMS clave debe permitir la raíz, o la función de IAM que se utiliza para el usuario. Para obtener información sobre la política AWS KMS clave, consulte [Uso de políticas clave en AWS KMS en](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) la *Guía para AWS Key Management Service desarrolladores*.
## AWS Transfer Family cifrado en reposo
Como AWS Transfer Family es un servicio de transferencia de archivos, no administra los datos de almacenamiento en reposo. Los servicios y sistemas de almacenamiento AWS Transfer Family compatibles son responsables de proteger los datos en ese estado. Sin embargo, hay algunos datos relacionados con el servicio que se AWS Transfer Family administran en reposo.
### ¿Qué se cifra?
Los únicos datos que se AWS Transfer Family gestionan en reposo se refieren a los detalles que se necesitan para hacer funcionar los servidores de transferencia de archivos y procesar las transferencias. AWS Transfer Family almacena los siguientes datos con cifrado completo en reposo en Amazon DynamoDB:
+ Configuraciones del servidor (por ejemplo, ajustes del servidor, configuraciones de protocolo y detalles del punto final).
+ Datos de autenticación del usuario, incluidas las claves públicas de SSH y los metadatos del usuario.
+ Detalles de la ejecución del flujo de trabajo y configuraciones de los pasos.
+ Configuraciones de conectores y credenciales de autenticación para sistemas de terceros. Estas credenciales se cifran mediante claves de cifrado AWS Transfer Family gestionadas.
#### Administración de claves
No puede administrar las claves de cifrado que se AWS Transfer Family utilizan para almacenar información en DynamoDB relacionada con el funcionamiento de los servidores y el procesamiento de las transferencias. Esta información incluye las configuraciones del servidor, los datos de autenticación de los usuarios, los detalles del flujo de trabajo y las credenciales del conector.
### ¿Qué no está cifrado?
Aunque AWS Transfer Family no controla la forma en que se cifran los datos de almacenamiento en reposo, te recomendamos configurar las ubicaciones de almacenamiento con el nivel de seguridad más alto que admitan. Por ejemplo, puede cifrar objetos con claves de cifrado gestionadas por Amazon S3 (SSE-S3) o AWS KMS claves (SSE-KMS).
Obtenga más información sobre cómo los servicios de AWS almacenamiento cifran los datos en reposo:
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)
+ [Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)
# Administración de claves SSH y PGP en Transfer Family
En esta sección, encontrará información sobre las claves SSH, inclusive cómo generarlas y cómo rotarlas. Para obtener más información sobre el uso de Transfer Family with AWS Lambda para administrar las claves, consulte la entrada del blog [Habilitar la administración de claves de autoservicio del usuario con AWS Transfer Family y AWS Lambda](https://aws.amazon.com/blogs/storage/enabling-user-self-service-key-management-with-aws-transfer-family-and-aws-lambda/). Para la implementación y la administración automatizadas de usuarios con varias claves SSH, consulte. [Módulos Transfer Family Terraform](terraform.md)
**nota**
AWS Transfer Family acepta RSA, ECDSA y ED25519 claves para la autenticación SSH.
En esta sección también se explica cómo generar y administrar las claves Pretty Good Privacy (PGP).
Para obtener una descripción general completa de todos los algoritmos de cifrado y clave compatibles, incluidas las recomendaciones para los distintos casos de uso, consulte. [Descripción general de los algoritmos clave y de cifrado](#encryption-algorithms-overview)
## Descripción general de los algoritmos clave y de cifrado
AWS Transfer Family admite diferentes tipos de algoritmos para diferentes propósitos. Saber qué algoritmos usar para su caso de uso específico ayuda a garantizar transferencias de archivos seguras y compatibles.
**Referencia rápida de algoritmos**
| Caso de uso | Algoritmo recomendado | Cumple con FIPS | Notas |
| --- | --- | --- | --- |
| Autenticación SSH/SFTP | RSA (rsa-sha2-256/512), ECDSA o ED25519 | RSA: Sí, ECDSA: Sí, No ED25519 | Compatible con todos los clientes y servidores SSH |
| Generación de claves PGP | RSA o ECC (NIST) | Sí | Para el descifrado del flujo de trabajo |
| Cifrado de archivos PGP | AES-256 | Sí | Determinado por el software PGP |
## Algoritmos de autenticación SSH
Estos algoritmos se utilizan para la SSH/SFTP autenticación entre clientes y AWS Transfer Family servidores. Elija uno de estos al generar pares de claves SSH para la autenticación de usuarios o las claves de host del servidor.
RSA (recomendado)
**Compatible con todos los clientes y servidores SSH y compatible con FIPS.** Úselo con el hash SHA-2 para mejorar la seguridad:
+ `rsa-sha2-256`- Recomendado para la mayoría de los casos de uso
+ `rsa-sha2-512`- Opción de mayor seguridad
ED25519
**Moderna y eficiente.** Llaves de menor tamaño con una gran seguridad:
+ `ssh-ed25519`- Rápido y seguro, pero no cumple con las normas FIPS
ECDSA
**Opción de curva elíptica.** Buen equilibrio entre seguridad y rendimiento:
+ `ecdsa-sha2-nistp256`- Curva estándar
+ `ecdsa-sha2-nistp384`- Curva de seguridad más alta
+ `ecdsa-sha2-nistp521`- La curva de seguridad más alta
**nota**
`ssh-rsa`Respaldamos SHA1 las políticas de seguridad más antiguas. Para obtener más información, consulte [Algoritmos criptográficos](security-policies.md#cryptographic-algorithms).
**Elegir el algoritmo SSH correcto**
+ **Para la mayoría de los usuarios:** utilice RSA con o `rsa-sha2-256` `rsa-sha2-512`
+ **Para cumplir con las normas FIPS:** utilice los algoritmos RSA o ECDSA
+ **Para entornos modernos:** ED25519 ofrece una seguridad y un rendimiento excelentes
## Algoritmos de cifrado y descifrado PGP
PGP (Pretty Good Privacy) utiliza dos tipos de algoritmos que funcionan juntos para cifrar y descifrar archivos en los flujos de trabajo:
1. **Algoritmos de pares de claves**: se utilizan para generar los pares de public/private claves para el cifrado y las firmas digitales
1. **Algoritmos simétricos**: se utilizan para cifrar los datos reales del archivo (los algoritmos de pares de claves cifran la clave simétrica)
### Algoritmos de key pair PGP
Elija uno de estos algoritmos al generar pares de claves PGP para el descifrado del flujo de trabajo:
RSA (recomendado)
**Recomendado para la mayoría de los usuarios.** Ampliamente compatible, bien establecido y compatible con FIPS. Ofrece un buen equilibrio entre seguridad y compatibilidad.
ECC (criptografía de curva elíptica)
**Más eficiente que RSA** con tamaños de clave más pequeños y, al mismo tiempo, mantiene una seguridad sólida:
+ **Curvas NIST: las curvas** estándar son ampliamente compatibles y cumplen con el FIPS
+ **BrainPool curvas: curvas** alternativas para requisitos de conformidad específicos
+ **Curve25519**: curva moderna de alto rendimiento que ofrece una gran seguridad con un cálculo eficiente
ElGamal
**Algoritmo heredado.** Compatible con sistemas antiguos. Utilice RSA o ECC para las nuevas implementaciones.
Para obtener instrucciones detalladas sobre cómo generar claves PGP, consulte. [Generar claves PGP](generate-pgp-keys.md)
### Algoritmos de cifrado simétrico PGP
Estos algoritmos cifran los datos reales de sus archivos. El algoritmo utilizado depende de cómo el software PGP haya creado el archivo PGP:
**Algoritmos compatibles con el FIPS (recomendados para entornos regulados)**
+ **AES-128, AES-192, AES-256**: estándar de cifrado avanzado (recomendado)
+ **3DES**: estándar de triple cifrado de datos (antiguo, utiliza AES siempre que sea posible)
**Otros algoritmos compatibles**
+ IDEA, Blowfish CAST5, DES, CAMELLIA-128, TwoFish CAMELLIA-192, CAMELLIA-256
**nota**
El algoritmo simétrico no se elige directamente cuando se utilizan los AWS Transfer Family flujos de trabajo, sino que lo determina el software PGP utilizado para crear el archivo cifrado. Sin embargo, puede configurar su software PGP para que prefiera algoritmos compatibles con FIPS, como el AES-256.
Para obtener más información sobre los algoritmos simétricos compatibles, consulte. [Algoritmos de cifrado simétrico compatibles](nominal-steps-workflow.md#symmetric-algorithms)
# Genere claves SSH para los usuarios administrados por el servicio
Puede configurar su servidor para que autentique a los usuarios aplicando el método de autenticación administrada por el servicio, con el que los nombres de usuario y las claves SSH se almacenan en el servicio. La clave pública SSH del usuario se carga en el servidor como una propiedad de usuario. El servidor utiliza esta clave como parte de un proceso de autenticación estándar basado en claves. Cada usuario puede tener varias claves SSH públicas en un mismo servidor. Para conocer los límites en la cantidad de claves que se pueden almacenar por usuario, consulte los [puntos de conexión y cuotas de AWS Transfer Family](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html) en *Referencia general de Amazon Web Services*.
Como alternativa al método de autenticación gestionado por el servicio, puede autenticar a los usuarios mediante un proveedor de identidad personalizado, o. AWS Directory Service for Microsoft Active Directory Para obtener más información, consulte [Uso de proveedores de identidad personalizados](custom-idp-intro.md) o [Uso AWS de Directory Service para Microsoft Active Directory](directory-services-users.md).
Un servidor solo puede autenticar a los usuarios mediante un método (administrado por el servicio, servicio de directorio o proveedor de identidad personalizado), y ese método no se puede cambiar una vez creado el servidor.
**Topics**
+ [Creación de claves SSH en macOS, Linux o Unix](macOS-linux-unix-ssh.md)
+ [Creación de claves SSH en Microsoft Windows](windows-ssh.md)
+ [Convertir una SSH2 clave al formato de clave pública SSH](convert-ssh2-public-key.md)
# Creación de claves SSH en macOS, Linux o Unix
En los sistemas operativos macOS, Linux o Unix, se utiliza el comando `ssh-keygen` para crear una clave pública SSH y una clave privada SSH, también conocidas como par de claves.
**nota**
En los ejemplos siguientes, no especificamos una frase de contraseña: en este caso, la herramienta le pide que introduzca la frase de contraseña y, a continuación, que la repita para verificarla. La creación de una frase de contraseña ofrece una mejor protección para la clave privada y, también, podría mejorar la seguridad general del sistema. No puede recuperar la frase de contraseña: si la olvida, debe crear una clave nueva.
Sin embargo, si va a generar una clave de host de servidor, *debe* especificar una frase de contraseña vacía especificando la opción `-N ""` en el comando (o pulsando **Enter** dos veces cuando se le solicite), ya que los servidores de Transfer Family no pueden solicitar una contraseña al inicio.
**Creación claves SSH en un sistema operativo macOS, Linux o Unix**
1. En los sistemas operativos macOS, Linux o Unix, abra una terminal de comandos.
1. AWS Transfer Family acepta claves con formato RSA, ECDSA y. ED25519 Elija el comando apropiado en función del tipo de par de claves que esté generando.
**Consejo**: `key_name` Sustitúyalo por el nombre real del archivo de key pair SSH.
+ Para generar un par de claves RSA de 4096 bits:
```
ssh-keygen -t rsa -b 4096 -f key_name
```
+ Para generar un par de claves ECDSA de 521 bits (el ECDSA tiene tamaños de bits de 256, 384 y 521):
```
ssh-keygen -t ecdsa -b 521 -f key_name
```
+ Para generar un ED25519 key pair:
```
ssh-keygen -t ed25519 -f key_name
```
A continuación se muestra un ejemplo del resultado `ssh-keygen`.
```
ssh-keygen -t rsa -b 4096 -f key_name
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in key_name.
Your public key has been saved in key_name.pub.
The key fingerprint is:
SHA256:8tDDwPmanTFcEzjTwPGETVWOGW1nVz+gtCCE8hL7PrQ bob.amazon.com
The key's randomart image is:
+---[RSA 4096]----+
| . ....E |
| . = ... |
|. . . = ..o |
| . o + oo = |
| + = .S.= * |
| . o o ..B + o |
| .o.+.* . |
| =o*+*. |
| ..*o*+. |
+----[SHA256]-----+
```
**Consejo**: Al ejecutar el `ssh-keygen` comando como se muestra anteriormente, crea las claves pública y privada como archivos en el directorio actual.
Tu par de claves SSH ya está listo para usarse. Siga los pasos 3 y 4 para almacenar la clave pública SSH para los usuarios gestionados por el servicio. Estos usuarios utilizan las claves cuando transfieren archivos en los puntos finales del servidor Transfer Family.
1. Desplácese hasta el archivo `key_name.pub` y ábralo.
1. Copie el texto y péguelo en la **clave pública SSH** del usuario administrado por el servicio.
1. Abra la AWS Transfer Family consola en y [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/), a continuación, seleccione **Servidores** en el panel de navegación.
1. En la página **Servidores**, seleccione el **ID de servidor** para el servidor que contiene el usuario que desea actualizar.
1. Seleccione el usuario para el que va a añadir una clave pública.
1. En el panel de **claves públicas SSH**, seleccione **Añadir clave pública SSH**.
![\[La AWS Transfer Family consola, que muestra los detalles de usuario de un usuario seleccionado.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/edit-user-add-key-01.png)
1. Pegue el texto de la clave pública que ha generado en el cuadro de texto de la clave pública SSH y, a continuación, seleccione **Añadir clave**.
![\[La AWS Transfer Family consola, que muestra la página Añadir clave para añadir una clave pública.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/edit-user-add-key-02.png)
La clave nueva aparece en el panel de claves públicas SSH.
![\[La AWS Transfer Family consola, que muestra la clave pública recién agregada en la sección de claves públicas de SSH.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/edit-user-add-key-03.png)
# Creación de claves SSH en Microsoft Windows
Windows incluye OpenSSH como función integrada, que puede utilizar para generar claves SSH en el mismo formato que en Linux o macOS. Como alternativa, puedes usar herramientas de terceros, como el generador de claves (Pu) de PuTTY. TTYgen
## Uso del OpenSSH integrado en Windows
Las versiones recientes de Windows incluyen OpenSSH de forma predeterminada. Puede usar los mismos `ssh-keygen` comandos que se describen en la sección macOS/Linux:
1. Abre Windows PowerShell o la línea de comandos.
1. Ejecute uno de los siguientes comandos en función del tipo de clave que desee generar:
+ Para generar un par de claves RSA de 4096 bits:
```
ssh-keygen -t rsa -b 4096 -f key_name
```
+ Para generar un par de claves ECDSA de 521 bits:
```
ssh-keygen -t ecdsa -b 521 -f key_name
```
+ Para generar un ED25519 key pair:
```
ssh-keygen -t ed25519 -f key_name
```
1. Sigue los mismos pasos que en la macOS/Linux sección en la que vas a cargar tu clave pública AWS Transfer Family.
## Uso de Pu TTYgen (herramienta de terceros)
Algunos clientes SSH de terceros para Windows, como PuTTY, utilizan diferentes formatos de clave. PuTTY usa el `PPK` formato para las claves privadas. Si utilizas PuTTY o herramientas relacionadas como WinSCP, puedes usar PuTTY TTYgen para crear claves en este formato.
**nota**
Si en WinSCP elige un archivo de clave privada que no está en formato `.ppk`, ese cliente le ofrecerá convertir la clave automáticamente al formato `.ppk`.
[Para ver un tutorial sobre cómo crear claves SSH mediante PuTTYgen, consulta el sitio web SSH.com.](https://www.ssh.com/ssh/putty/windows/puttygen)
# Convertir una SSH2 clave al formato de clave pública SSH
AWS Transfer Family solo acepta claves públicas con formato SSH. Si tiene una clave SSH2 pública, debe convertirla. Una clave SSH2 pública tiene el siguiente formato:
```
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20160402"
AAAAB3NzaC1yc2EAAAABJQAAAgEAiL0jjDdFqK/kYThqKt7THrjABTPWvXmB3URI
:
:
---- END SSH2 PUBLIC KEY ----
```
Una clave pública SSH tiene el siguiente formato:
```
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAA...
```
Ejecute el siguiente comando para convertir una clave pública SSH2 con formato en una clave pública con formato SSH. *ssh2-key*Sustitúyala por el nombre de tu SSH2 clave y *ssh-key* por el nombre de tu clave SSH.
```
ssh-keygen -i -f ssh2-key.pub > ssh-key.pub
```
# Rotar claves SSH
Por seguridad, la rotación de las claves SSH es una buena práctica que recomendamos. Normalmente, la rotación se especifica como parte de una política de seguridad y se implementa con algún mecanismo automático. En función del nivel de seguridad, para comunicaciones altamente confidenciales puede que un par de claves SSH se utilice una sola vez. Esto elimina cualquier riesgo derivado del almacenamiento de las claves. Sin embargo, es mucho más habitual almacenar las credenciales SSH durante cierto periodo de tiempo y establecer un intervalo que no suponga una carga excesiva para los usuarios. Un intervalo de tres meses es habitual.
**nota**
Para obtener información sobre la rotación automática de claves SSH utilizando la infraestructura como código, consulte[Módulos Transfer Family Terraform](terraform.md).
Existen dos métodos para realizar la rotación de claves SSH:
+ En la consola, puede cargar una clave pública SSH nueva y eliminar una clave pública SSH existente.
+ Con la API, puede actualizar los usuarios existentes mediante la [DeleteSshPublicKey](https://docs.aws.amazon.com//transfer/latest/APIReference/API_DeleteSshPublicKey.html)API para eliminar la clave pública de Secure Shell (SSH) de un usuario y la [ImportSshPublicKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ImportSshPublicKey.html)API para añadir una nueva clave pública de Secure Shell (SSH) a la cuenta del usuario.
------
#### [ Console ]
**Cómo realizar una rotación de claves en la consola**
1. Abra la AWS Transfer Family consola en. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Navegue a la página **Servidores**.
1. Elija el identificador en la columna **ID de servidor** para ver la página **Detalles del servidor**.
1. En **Usuarios**, seleccione la casilla del usuario cuya clave pública SSH quiere rotar, luego, seleccione **Acciones** y, a continuación, seleccione **Añadir clave** para ver la página **Añadir clave**.
o
Seleccione el nombre de usuario para ver la página de **Detalles del usuario** y, a continuación, **Añadir clave pública SSH** para ver la página **Añadir clave**.
1. Introduzca la nueva clave pública de SSH y seleccione **Añadir clave**.
**importante**
El formato de la clave pública SSH depende del tipo de clave que haya generado.
En el caso de las claves RSA, el formato es `ssh-rsa string`.
En el ED25519 caso de las claves, el formato es`ssh-ed25519 string`.
En el caso de las claves ECDSA, la clave comienza por `ecdsa-sha2-nistp256`, `ecdsa-sha2-nistp384` o `ecdsa-sha2-nistp521`, según el tamaño de la clave que haya generado. A continuación, la cadena inicial va seguida de `string`, de forma similar a los demás tipos de clave.
Volverá entonces a la pantalla **Detalles de usuario** en cuya **sección de claves SSH públicas** aparecerá la nueva clave pública SSH.
1. Seleccione las casillas de verificación situadas junto a las claves que desea eliminar y seleccione **Eliminar**.
1. Confirme la operación de eliminación escribiendo la palabra `delete` y, a continuación, seleccione **Eliminar**.
------
#### [ API ]
**Cómo realizar una rotación de claves mediante la API**
1. En los sistemas operativos macOS, Linux o Unix, abra una terminal de comandos.
1. Recupere la clave SSH que desea eliminar al ingresar el siguiente comando. Para usar este comando, reemplace `serverID` por el ID del servidor de su servidor de Transfer Family y reemplace `username` por su nombre de usuario.
```
aws transfer describe-user --server-id='serverID' --user-name='username'
```
El comando devuelve detalles sobre el usuario. Copie el contenido del campo `"SshPublicKeyId":`. Tendrá que introducir este valor más tarde en este mismo procedimiento.
```
"SshPublicKeys": [ { "SshPublicKeyBody": "public-key", "SshPublicKeyId": "keyID",
"DateImported": 1621969331.072 } ],
```
1. A continuación, importe una nueva clave SSH para su usuario. Cuando se le solicite, introduzca el comando siguiente. Para usar este comando, reemplace `serverID` por el ID del servidor de su servidor de Transfer Family, reemplace `username` por su nombre de usuario, y reemplace `public-key` por la huella digital de su clave pública nueva.
```
aws transfer import-ssh-public-key --server-id='serverID' --user-name='username'
--ssh-public-key-body='public-key'
```
``Si el comando se ejecuta correctamente, no se muestra ningún resultado.
1. Por último, elimine la clave anterior mediante el siguiente comando. Para usar este comando, reemplace `serverID` por el ID del servidor de su servidor de Transfer Family, reemplace `username` por su nombre de usuario, y reemplace `keyID-from-step-2` por el valor de identificador de clave que copió en el paso 2 de este procedimiento
```
aws transfer delete-ssh-public-key --server-id='serverID' --user-name='username'
--ssh-public-key-id='keyID-from-step-2'
```
1. (Opcional) Para confirmar que la clave anterior ya no existe, repita el paso 2.
------
# Generar claves PGP
Puede utilizar el descifrado de Pretty Good Privacy (PGP) con los archivos que Transfer Family procesa mediante flujos de trabajo. Para utilizar el descifrado en un paso del flujo de trabajo, proporcione una clave PGP. Para obtener información detallada sobre los algoritmos clave de PGP, incluidas las recomendaciones y el cumplimiento de las normas FIPS, consulte. [Algoritmos de key pair PGP](key-management.md#pgp-key-algorithms)
El blog sobre AWS almacenamiento tiene una entrada que describe cómo descifrar archivos de forma sencilla sin escribir ningún código mediante los flujos de trabajo gestionados por Transfer Family, [cifrar y descifrar archivos con PGP](https://aws.amazon.com/blogs/storage/encrypt-and-decrypt-files-with-pgp-and-aws-transfer-family/) y. AWS Transfer Family
El operador que utilice para generar las claves PGP dependerá del sistema operativo y de la versión del software de generación de claves que utilice.
Si utiliza Linux o Unix, utilice el instalador de paquetes para realizar la instalación de `gpg`. Dependiendo de su distribución de Linux, uno de los siguientes comandos debería funcionar para usted.
```
sudo yum install gnupg
```
```
sudo apt-get install gnupg
```
Para Windows o macOS, puede descargar lo que necesite desde [https://gnupg.org/download/](https://gnupg.org/download/).
Después de instalar el software generador de claves PGP, ejecute `gpg --full-gen-key` o el comando `gpg --gen-key` para generar un par de claves.
**nota**
Si utiliza la versión 2.3.0 o posterior de `GnuPG`, debe ejecutar `gpg --full-gen-key`. Cuando se le pida el tipo de clave que desea crear, elija RSA o Elliptic Curve Cryptography (ECC, criptografía de curva elíptica). Si eliges **ECC**, puedes elegir entre BrainPool y Curve25519 para la curva NIST elíptica.
**Subcomandos de `gpg` útiles**
Los siguientes son algunos subcomandos útiles para `gpg`:
+ `gpg --help`: este comando muestra las opciones disponibles y puede incluir algunos ejemplos.
+ `gpg --list-keys`— Este comando muestra los detalles de todos los pares de claves que ha creado.
+ `gpg --fingerprint`— Este comando muestra los detalles de todos los pares de claves, incluida la huella digital de cada clave.
+ `gpg --export -a user-name`: este comando exporta la parte de la clave pública de la clave para `user-name` que se utilizó cuando se generó la clave.
# Administración de claves PGP
Para administrar sus claves PGP, utilice AWS Secrets Manager.
**nota**
Su nombre secreto incluye su ID de servidor de Transfer Family. Esto significa que ya debe haber identificado o creado un servidor *antes* de poder almacenar la información de su clave PGP en AWS Secrets Manager.
Si quiere usar una clave y una frase de contraseña para todos sus usuarios, puede almacenar la información del bloque de claves PGP bajo el nombre secreto `aws/transfer/server-id/@pgp-default`, en el que `server-id` es el ID de su servidor de Transfer Family. Transfer Family usa esta clave predeterminada si no hay ninguna clave que `user-name` coincida con el usuario que ejecuta el flujo de trabajo.
Puede crear una clave para un usuario específico. En este caso, el formato del nombre secreto es`aws/transfer/server-id/user-name`, donde `user-name` coincide con el usuario que ejecuta el flujo de trabajo de un servidor Transfer Family.
**nota**
Puede almacenar un máximo de 3 claves privadas PGP, por servidor de Transfer Family y por usuario.
**Configuración de las claves PGP para su uso con el descifrado**
1. Según la versión de GPG que utilice, ejecute uno de los siguientes comandos para generar un key pair de PGP.
+ Si utiliza la versión 2.3.0 de **GnuPG** o posterior, ejecute el siguiente comando:
```
gpg --full-gen-key
```
Puede elegir o**RSA**, si lo desea**ECC**, puede elegir una **BrainPool** o **Curve25519** para la **NIST** curva elíptica. Si se ejecuta `gpg --gen-key` en su lugar, se crea un key pair que utiliza el algoritmo de cifrado ECC Curve 25519.
+ Para las versiones de **GnuPG** anteriores a la 2.3.0, puede usar el siguiente comando, ya que RSA es el tipo de cifrado predeterminado.
```
gpg --gen-key
```
**importante**
Durante el proceso de generación de claves, debe proporcionar una frase de contraseña y una dirección de correo electrónico. Asegúrese de tomar nota de estos valores. Debe proporcionar la contraseña al introducir los detalles de la clave más adelante en AWS Secrets Manager este procedimiento. Además, debe proporcionar la misma dirección de correo electrónico para exportar la clave privada en el siguiente paso.
1. Ejecute el siguiente comando para exportar la clave privada. Para usar este comando, reemplace `private.pgp` por el nombre del archivo en el que se va a guardar el bloque de clave privada, y reemplace `marymajor@example.com` por la dirección de correo electrónico que utilizó al generar el par de claves.
```
gpg --output private.pgp --armor --export-secret-key marymajor@example.com
```
1. Utilícela AWS Secrets Manager para almacenar la clave PGP.
1. Inicie sesión en Consola de administración de AWS y abra la AWS Secrets Manager consola en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. En el panel de navegación izquierdo, seleccione **Secretos**.
1. En la página **Secretos**, seleccione **Almacenar un nuevo secreto**.
1. En la página **Seleccionar tipo de secreto**, en **Tipo de secreto**, seleccione **Otro tipo de secreto**.
1. En la sección de **Pares clave-valor**, seleccione la pestaña **Clave/valor**.
+ **Clave**: introduzca **PGPPrivateKey**.
**nota**
Debe introducir la cadena **PGPPrivateKey** con precisión: no añada espacios antes o entre los caracteres.
+ **valor**: pegue el texto de su clave privada en el campo valor. Puede encontrar el texto de la clave privada en el archivo (por ejemplo, `private.pgp`) que especificó al exportar la clave al principio de este procedimiento. La clave comienza con `-----BEGIN PGP PRIVATE KEY BLOCK-----` y termina con `-----END PGP PRIVATE KEY BLOCK-----`.
**nota**
Asegúrese de que el bloque de texto contenga solo la clave privada y que no contenga también la clave pública.
1. Seleccione **Agregar fila** y en la sección **Pares clave/valor**, seleccione la pestaña **Clave/valor**.
+ **Clave**: introduzca **PGPPassphrase**.
**nota**
Debe introducir la cadena **PGPPassphrase** con precisión: no añada espacios antes o entre los caracteres.
+ **valor**: introduzca la contraseña que utilizó al generar su par de claves PGP.
![\[\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/pgp-secrets-01.png)
**nota**
Puede agregar hasta 3 conjuntos de claves y frases de contraseña. Para añadir un segundo conjunto, añada dos filas nuevas, introduzca **PGPPrivateKey2** y **PGPPassphrase2** para las claves, y pegue otra clave privada y frase de contraseña. Para añadir un tercer conjunto, los valores de la clave deben ser **PGPPrivateKey3** y **PGPPassphrase3**.
1. Seleccione **Siguiente**.
1. En la página **Configurar secreto**, introduzca un nombre y una descripción para el secreto.
+ Si va a crear una clave predeterminada, es decir, una clave que pueda utilizar cualquier usuario de Transfer Family, introduzca **aws/transfer/*server-id*/@pgp-default**. Reemplace `server-id` por el ID del servidor que contiene el flujo de trabajo que tiene un paso de descifrado.
+ Si va a crear una clave para que la utilice un usuario específico de Transfer Family, introduzca **aws/transfer/*server-id*/*user-name***. Reemplace `server-id` por el ID del servidor que contiene el flujo de trabajo que tiene un paso de descifrado y reemplace `user-name` por el nombre del usuario que ejecuta el flujo de trabajo. `user-name` se almacena en el proveedor de identidad que utiliza el servidor de Transfer Family.
1. Seleccione **Siguiente** y acepte los valores predeterminados de la página **Configurar rotación**. A continuación, seleccione **Siguiente**.
1. En la página de **Revisión**, elija **Guardar** para crear y almacenar el secreto.
La siguiente captura de pantalla muestra los detalles del usuario **marymajor** para un servidor de Transfer Family específico. En este ejemplo, se muestran tres claves y sus frases de contraseñas correspondientes.
![\[\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/pgp-secrets-02.png)
# Clientes PGP admitidos
Se probaron los siguientes clientes con Transfer Family y se pueden usar para generar claves PGP y para cifrar los archivos que se pretende descifrar con un flujo de trabajo.
+ **Gpg4win \$1 Kleopatra**.
**nota**
Cuando seleccione **Firmar/cifrar archivos**, asegúrese de borrar la selección de **Firmar como**: actualmente no se admite la firma de archivos cifrados.
![\[\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/workflows-step-decrypt-kleopatra.png)
Si firmas el archivo cifrado e intentas subirlo a un servidor de Transfer Family con un flujo de trabajo de descifrado, recibirás el siguiente error:
```
Encrypted file with signed message unsupported
```
+ Versiones principales de **GnuPG**: 2.4, 2.3, 2.2, 2.0 y 1.4.
Tenga en cuenta que es posible que otros clientes de PGP también funcionen, pero solo los clientes mencionados aquí se han probado con Transfer Family.
# Administración de identidad y acceso para AWS Transfer Family
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AWS Transfer Family La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [¿Cómo AWS Transfer Family funciona con IAM](security_iam_service-with-iam.md)
+ [AWS Transfer Family ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)
+ [AWS Transfer Family ejemplos de políticas basadas en etiquetas](security_iam_tag-based-policy-examples.md)
+ [Solución de problemas AWS Transfer Family de identidad y acceso](security_iam_troubleshoot.md)
+ [Los requisitos de la IAM para el gobierno organizacional](transfer-condition-keys.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS Transfer Family de identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [¿Cómo AWS Transfer Family funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [AWS Transfer Family ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Usuario raíz de la cuenta de AWS
Al crear una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz*, que tiene acceso completo a todos los Servicios de AWS recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# ¿Cómo AWS Transfer Family funciona con IAM
Antes de usar AWS Identity and Access Management (IAM) para administrar el acceso AWS Transfer Family, debe comprender con qué funciones de IAM está disponible. AWS Transfer Family*Para obtener una visión general de cómo funcionan con IAM AWS Transfer Family y otros AWS servicios, consulte los [AWS servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [AWS Transfer Family políticas basadas en la identidad](#security_iam_service-with-iam-id-based-policies)
+ [AWS Transfer Family políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas AWS Transfer Family](#security_iam_service-with-iam-tags)
+ [AWS Transfer Family Funciones de IAM](#security_iam_service-with-iam-roles)
## AWS Transfer Family políticas basadas en la identidad
Con las políticas basadas en identidad de IAM, puede especificar las acciones permitidas o denegadas y los recursos además de las condiciones en las que se permiten o deniegan las acciones. AWS Transfer Family admite acciones, recursos y claves de condiciones específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de AWS Identity and Access Management *.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas AWS Transfer Family utilizan el siguiente prefijo antes de la acción:`transfer:`. Por ejemplo, para conceder a alguien permiso para crear un servidor con la operación de la API `CreateServer` de Transfer Family, debe incluir la acción `transfer:CreateServer` en la política. Las instrucciones de política deben incluir un elemento `Action` o `NotAction`. AWS Transfer Family define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una sola sentencia, sepárelas con comas como se indica a continuación.
```
"Action": [
"transfer:action1",
"transfer:action2"
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción.
```
"Action": "transfer:Describe*"
```
Para ver una lista de AWS Transfer Family acciones, consulte [las acciones definidas AWS Transfer Family en la](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-actions-as-permissions) *Referencia de autorización del servicio*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
El recurso del servidor de Transfer Family tiene el siguiente ARN.
```
arn:aws:transfer:${Region}:${Account}:server/${ServerId}
```
Por ejemplo, para especificar un `s-01234567890abcdef` servidor de Transfer Family en la instrucción, utilice el siguiente ARN.
```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/s-01234567890abcdef"
```
Para obtener más información sobre el formato de ARNs, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la *Referencia de autorización de servicio* o [IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) en la Guía del *usuario de IAM*.
Para especificar todas las instancias que pertenecen a una cuenta específica, utilice el carácter comodín (\$1).
```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/*"
```
Algunas AWS Transfer Family acciones se realizan en varios recursos, como los que se utilizan en las políticas de IAM. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "arn:aws:transfer:*:123456789012:server/*"
```
En algunos casos, debe especificar más de un tipo de recurso, por ejemplo, si crea una política que permita el acceso a los servidores y usuarios de Transfer Family. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver una lista de AWS Transfer Family recursos, consulte los [tipos de recursos definidos AWS Transfer Family en la](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-resources-for-iam-policies) *Referencia de autorización de servicio*.
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
AWS Transfer Family define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver una lista de claves de AWS Transfer Family condición, consulte las [claves de condición AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-policy-keys) en la *Referencia de autorización de servicio*.
### Ejemplos
Para ver ejemplos de políticas AWS Transfer Family basadas en la identidad, consulte. [AWS Transfer Family ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md) Para conocer las políticas de IAM específicas de los puntos finales de la VPC, consulte. [Limitar el acceso a los terminales de VPC para los servidores Transfer Family](create-server-in-vpc.md#limit-vpc-endpoint-access)
## AWS Transfer Family políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas de JSON que especifican qué acciones puede realizar un director específico en el AWS Transfer Family recurso y en qué condiciones. Amazon S3 admite políticas de permisos basadas en recursos para Amazon S3. *buckets* Las políticas basadas en recursos le permiten otorgar permiso de uso a otras cuentas por recurso. También puede usar una política basada en recursos para permitir que un AWS servicio acceda a su Amazon S3. *buckets*
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la [entidad principal de una política basada en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Añadir a una política en función de recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de confianza. Si el principal y el recurso están en AWS cuentas diferentes, también debe conceder permiso a la entidad principal para acceder al recurso. Conceda permiso asociando a la entidad una política basada en identidades. Sin embargo, si la política basada en recursos concede el acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidad adicional. Para obtener más información, consulte [Cómo los roles de IAM difieren de las políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) en la *Guía del usuario de AWS Identity and Access Management *.
El servicio Amazon S3 solo admite un tipo de política basada en recursos denominada **bucket*política*, que se adjunta a. *bucket* Esta política define las entidades principales (cuentas, usuarios, roles y usuarios federados) que pueden realizar acciones en el objeto.
### Ejemplos
Para ver ejemplos de políticas AWS Transfer Family basadas en recursos, consulte. [AWS Transfer Family ejemplos de políticas basadas en etiquetas](security_iam_tag-based-policy-examples.md)
## Autorización basada en etiquetas AWS Transfer Family
Puede adjuntar etiquetas a AWS Transfer Family los recursos o pasarles etiquetas en una solicitud AWS Transfer Family. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `transfer:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener información sobre cómo utilizar las etiquetas para controlar el acceso a AWS Transfer Family los recursos, consulte[AWS Transfer Family ejemplos de políticas basadas en etiquetas](security_iam_tag-based-policy-examples.md).
## AWS Transfer Family Funciones de IAM
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos.
### Usar credenciales temporales con AWS Transfer Family
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS Transfer Family admite el uso de credenciales temporales.
# AWS Transfer Family ejemplos de políticas basadas en la identidad
De forma predeterminada, los usuarios y los roles de IAM no tienen permiso para crear, ver ni modificar recursos de AWS Transfer Family . Tampoco pueden realizar tareas con la API Consola de administración de AWS AWS CLI, o AWS . Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe asociar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas de JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de AWS Identity and Access Management *.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola AWS Transfer Family](#security_iam_id-based-policy-examples-console)
+ [Permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Transfer Family recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola AWS Transfer Family
Para acceder a la AWS Transfer Family consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Transfer Family recursos de su AWS cuenta. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de AWS Identity and Access Management *.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
## Permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS Transfer Family ejemplos de políticas basadas en etiquetas
Los siguientes son ejemplos de cómo controlar el acceso a AWS Transfer Family los recursos en función de las etiquetas.
## Uso de etiquetas para controlar el acceso a AWS Transfer Family los recursos
Las condiciones de las políticas de IAM forman parte de la sintaxis que se utiliza para especificar los permisos de los recursos de AWS Transfer Family . Puede controlar el acceso a AWS Transfer Family los recursos (como los usuarios, los servidores, los roles y otras entidades) en función de las etiquetas de esos recursos. Las etiquetas son pares de clave-valor. Para obtener más información sobre el etiquetado de los recursos, consulte [Etiquetar AWS los recursos](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) en. *Referencia general de AWS*
En AWS Transfer Family, los recursos pueden tener etiquetas y algunas acciones pueden incluirlas. Cuando crea una política de IAM, puede utilizar claves de condición de etiqueta para controlar lo siguiente:
+ Qué usuarios pueden realizar acciones en un AWS Transfer Family recurso, en función de las etiquetas que tenga el recurso.
+ Las etiquetas que se pueden pasar en la solicitud de una acción.
+ Si se pueden utilizar claves de etiqueta específicas en una solicitud.
Al utilizar el control de acceso basado en etiquetas, puede aplicar un control más preciso que a nivel de API. También puede aplicar un control más dinámico que mediante el control de acceso basado en recursos. Puede crear políticas de IAM que permitan o no una operación basada en las etiquetas que se proporcionan en la solicitud (etiquetas de solicitud). También puede crear políticas de IAM basadas en las etiquetas del recurso en el que se está operando (etiquetas de recurso). En general, las etiquetas de recursos son para las etiquetas que ya están en los recursos, mientras que las etiquetas de solicitud son para cuando se añaden etiquetas a un recurso o se quitan etiquetas de este.
Para conocer la sintaxis y la semántica completa de las claves de condición de las etiquetas, consulte [Control del acceso a los recursos de AWS mediante etiquetas de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la *Guía del usuario de IAM*. Para obtener más información sobre cómo especificar las políticas de IAM con la API Gateway, consulte [Control access to an API with IAM permissions (Controlar el acceso a una API con permisos de IAM)](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html) en la *Guía para desarrolladores de API Gateway*.
### Ejemplo 1: Denegar acciones en función de etiquetas de recursos
Puede denegar la realización de una acción en un recurso basándose en las etiquetas. El siguiente ejemplo de política deniega las operaciones `TagResource`, `UntagResource`, `StartServer`, `StopServer`, `DescribeServer` y `DescribeUser`, si el recurso de usuario o servidor está etiquetado con la clave `stage` y el valor `prod`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"transfer:TagResource",
"transfer:UntagResource",
"transfer:StartServer",
"transfer:StopServer",
"transfer:DescribeServer",
"transfer:DescribeUser"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
```
### Ejemplo 2: Permitir acciones en función de etiquetas de recursos
Puede permitir la realización de una acción en un recurso basándose en las etiquetas. El siguiente ejemplo de política permite realizar las operaciones `TagResource`, `UntagResource`, `StartServer`, `StopServer`, `DescribeServer` y `DescribeUser`, y si el recurso de usuario o servidor está etiquetado con la clave `stage` y el valor `prod`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"transfer:TagResource",
"transfer:UntagResource",
"transfer:StartServer",
"transfer:StopServer",
"transfer:DescribeServer",
"transfer:DescribeUser"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
```
### Ejemplo 3: denegar la creación de un usuario o servidor en función de las etiquetas de solicitud
El siguiente ejemplo contiene dos instrucciones. La primera sentencia deniega la operación `CreateServer` en todos los recursos si la clave del centro de costos de la etiqueta no tiene ningún valor.
La segunda afirmación deniega la operación `CreateServer` si la clave del centro de costo de la etiqueta contiene cualquier otro valor además de 1, 2 o 3.
**nota**
Esta política sí permite crear o eliminar un recurso que contenga una clave llamada `costcenter` y un valor de `1`, `2` o `3`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"transfer:CreateServer"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:RequestTag/costcenter": "true"
}
}
},
{
"Effect": "Deny",
"Action": "transfer:CreateServer",
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
# Solución de problemas AWS Transfer Family de identidad y acceso
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con un AWS Transfer Family IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS Transfer Family](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar lo siguiente: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos AWS Transfer Family](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en AWS Transfer Family
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM, `mateojackson`, intenta utilizar la consola para ver detalles sobre una *widget*, pero no tiene permisos `transfer:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: transfer:GetWidget on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `transfer;:GetWidget`.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS Transfer Family.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AWS Transfer Family. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
En el siguiente ejemplo de política se incluye el permiso para transferir un rol a AWS Transfer Family. **123456789012**Sustitúyalo por el ID de su cuenta de AWS y **MyTransferRole** por el nombre real de su función de IAM.
****
```
{
"Version":"2012-10-17",
"Statement": [
{ "Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/MyTransferRole",
"Effect": "Allow"
}
]
}
```
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos AWS Transfer Family
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si AWS Transfer Family es compatible con estas funciones, consulte. [¿Cómo AWS Transfer Family funciona con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Los requisitos de la IAM para el gobierno organizacional
AWS Transfer Family proporciona claves de condición de IAM que permiten restringir las configuraciones de recursos en cualquier política de IAM. Estas claves de condición se pueden usar en políticas basadas en la identidad asociadas a los usuarios o roles, o en las políticas de control de servicios (SCPs) para el gobierno organizacional.
Las políticas de control de servicios son políticas de IAM que se aplican a toda AWS la organización y proporcionan barreras preventivas en varias cuentas. Cuando se utilizan SCPs, estas claves de condición ayudan a hacer cumplir los requisitos de seguridad y conformidad en toda la organización.
**Véase también**
+ [Acciones, recursos y claves de condición de Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html)
+ [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ Vídeo en el que se describe cómo hacer cumplir las barreras preventivas mediante políticas de control de servicios
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/mEO05mmbSms)
## Claves de estado disponibles
AWS Transfer Family admite las siguientes claves de condición para su uso en las políticas de IAM:
`transfer:RequestServerEndpointType`
Restringe la creación y las actualizaciones del servidor en función del tipo de punto final (PUBLIC, VPC, VPC\$1ENDPOINT). Se suele utilizar para evitar que los puntos finales estén orientados al público.
`transfer:RequestServerProtocols`
Restringe la creación y las actualizaciones de servidores en función de los protocolos compatibles (SFTP, FTPS, FTP). AS2
`transfer:RequestServerDomain`
Restringe la creación de servidores en función del tipo de dominio (S3, EFS).
`transfer:RequestConnectorProtocol`
Restringe la creación de conectores según el protocolo (AS2SFTP).
## Acciones admitidas
Las claves de condición se pueden aplicar a las siguientes acciones: AWS Transfer Family
+ `CreateServer`: Soporta `RequestServerEndpointType` y `RequestServerDomain` condiciona las claves `RequestServerProtocols`
+ `UpdateServer`: Soporta `RequestServerEndpointType` y `RequestServerProtocols` condiciona las claves
+ `CreateConnector`: Soporta la clave de `RequestConnectorProtocol` condición
## Ejemplo de política SCP
El siguiente ejemplo de SCP impide la creación de AWS Transfer Family servidores públicos en toda la organización:
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DenyPublicTransferServers",
"Effect": "Deny",
"Action": ["transfer:CreateServer", "transfer:UpdateServer"],
"Resource": "*",
"Condition": {
"StringEquals": {
"transfer:RequestServerEndpointType": "PUBLIC"
}
}
}]
}
```
# Validación de conformidad para AWS Transfer Family
Los auditores externos evalúan la seguridad y el cumplimiento AWS Transfer Family como parte de varios programas de cumplimiento. AWS Esto incluye SOC, PCI, HIPAA y otros. Para ver la lista completa, consulte [AWS los servicios incluidos en el ámbito de aplicación por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope).
Para obtener una lista de AWS los servicios incluidos en el ámbito de los programas de cumplimiento específicos, consulte [AWS los servicios incluidos en el ámbito de aplicación por programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/). Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descargar informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Su responsabilidad de conformidad al AWS Transfer Family utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. AWS proporciona los siguientes recursos para ayudar con el cumplimiento:
+ [Guías de inicio rápido sobre seguridad y cumplimiento](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estas guías de implementación analizan las consideraciones arquitectónicas y proporcionan los pasos para implementar entornos básicos centrados en la seguridad y el cumplimiento. AWS
+ Documento técnico sobre [cómo diseñar una arquitectura para la seguridad y el cumplimiento de la HIPAA: este documento técnico describe cómo las](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) empresas pueden utilizar para crear aplicaciones que cumplan con la HIPAA. AWS
+ [Recursos de conformidad de AWS](https://aws.amazon.com/compliance/resources/): este conjunto de manuales y guías podría aplicarse a su sector y ubicación.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Este AWS servicio evalúa en qué medida las configuraciones de sus recursos cumplen con las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Este AWS servicio proporciona una visión integral del estado de su seguridad AWS que le ayuda a comprobar el cumplimiento de los estándares y las mejores prácticas del sector de la seguridad.
# Resiliencia en AWS Transfer Family
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
AWS Transfer Family admite hasta 3 zonas de disponibilidad y está respaldado por una flota redundante y con escalado automático para sus solicitudes de conexión y transferencia.
Para todos los puntos finales de Transfer Family:
+ Disponibilidad La redundancia a nivel de zona está integrada en el servicio.
+ Hay flotas redundantes para cada zona de disponibilidad.
+ Esta redundancia se proporciona automáticamente.
**nota**
Para los puntos finales de una Nube Privada Virtual (VPC), es posible proporcionar una única subred. Sin embargo, le recomendamos que cree puntos de conexión en varias zonas de disponibilidad dentro de su VPC para reducir el riesgo de interrupciones en el servicio durante las interrupciones de la zona de disponibilidad.
**Véase también**
+ Para obtener más información sobre cómo crear servidores Transfer Family en una VPC, consulte. [Creación de un servidor en una nube privada virtual (VPC)](create-server-in-vpc.md)
+ Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte la [infraestructura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
+ Para ver un ejemplo sobre cómo crear una mayor redundancia y minimizar la latencia de la red mediante el enrutamiento basado en la latencia, consulte la entrada del blog [Minimice la latencia de la red](https://aws.amazon.com/blogs/storage/minimize-network-latency-with-your-aws-transfer-for-sftp-servers/) con sus servidores. AWS Transfer Family
# Cree una conexión privada entre una VPC y AWS Transfer Family APIs
Puede establecer una conexión privada entre su VPC y crear un *punto final AWS Transfer Family APIs de VPC de interfaz, con la tecnología* de. [AWS PrivateLink](https://aws.amazon.com/privatelink/) Puede acceder AWS Transfer Family APIs como si estuviera en su VPC, sin utilizar una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión Direct AWS Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con AWS Transfer Family APIs.
Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Para obtener más información, consulte [Acceder a AWS los servicios AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) en la *AWS PrivateLink Guía*. *Antes de configurar un punto final de VPC de interfaz para AWS Transfer Family APIs, consulte [las consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) de la AWS PrivateLink guía.*
## Control del acceso mediante políticas de puntos finales de VPC
De forma predeterminada, AWS Transfer Family APIs se permite el acceso total a través del punto final. Puede controlar el acceso al punto de conexión de la interfaz mediante políticas de punto de conexión de VPC. Puede asociar una política de punto de conexión con su punto de conexión de VPC que controla el acceso a AWS Transfer Family APIs. La política especifica la siguiente información:
+ La **entidad principal** que puede realizar acciones.
+ Las **acciones** que se pueden realizar.
+ Los **recursos** en los que se pueden llevar a cabo las acciones.
Para más información, consulte [Control del acceso a los servicios con puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
El siguiente es un ejemplo de una política de punto final para AWS Transfer Family APIs. Cuando se adjunta a un punto final, esta política otorga acceso a todas AWS Transfer Family APIs las acciones de todos los recursos, excepto a las que están etiquetadas con la clave `Environment` y el valor`Test`.
```
{
"Statement": [{
"Effect": "Deny",
"Action": "transfer:StartFileTransfer",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "Test"
}
}
}, {
"Effect": "Allow",
"Action": "transfer:*",
"Principal": "*",
"Resource": "*"
}]
}
```
## Cree un punto final de VPC de interfaz para AWS Transfer Family APIs
Puede crear un punto de conexión de VPC para AWS Transfer Family APIs utilizar la consola de Amazon VPC o la interfaz de línea de AWS comandos ().AWS CLI Para obtener más información, consulte [Create a VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) (Creación de un punto de conexión de VPC) en la *Guía de AWS PrivateLink*.
Cree un punto final de VPC para AWS Transfer Family APIs usar uno de los siguientes nombres de servicio:
+ `com.amazonaws.region.transfer`
+ `com.amazonaws.region.transfer-fips`— Crear un punto final de VPC de interfaz que cumpla con la norma federal de procesamiento de información (FIPS), publicación 140-3, del gobierno de EE. UU.
Si habilita DNS privado para el punto de conexión, puede realizar solicitudes a la API para AWS Transfer Family APIs usando su nombre de DNS predeterminado para la región, por ejemplo `transfer.us-east-1.amazonaws.com`.
# Seguridad de la infraestructura en AWS Transfer Family
Como servicio gestionado, AWS Transfer Family está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a AWS Transfer Family través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
## Evite colocarlos NLBs y NATs delante de los AWS Transfer Family servidores
**nota**
Los servidores configurados con los protocolos FTP y FTPS solo permiten una configuración con una VPC: no hay ningún punto final público disponible para FTP/FTPS.
Muchos clientes configuran un Network Load Balancer (NLB) para enrutar el tráfico a su servidor. AWS Transfer Family Por lo general, lo hacen porque crearon su servidor antes de que AWS se les ofreciera una forma de acceder a él desde su VPC y desde Internet, o para admitir FTP en Internet. Esta configuración no solo aumenta los costes para los clientes, sino que también puede provocar otros problemas, que se describen en esta sección.
Las pasarelas NAT son un componente obligatorio cuando los clientes se conectan desde la red privada de un cliente a través de un firewall corporativo. Sin embargo, debe tener en cuenta que cuando muchos clientes están detrás de la misma puerta de enlace NAT, esto puede afectar al rendimiento y a los límites de conexión. Si hay un NLB o NAT en la ruta de comunicación entre el cliente y el servidor FTP o FTPS, el servidor no puede reconocer con precisión la dirección IP del cliente, ya que solo AWS Transfer Family ve la dirección IP del NLB o NAT.
Si utiliza la configuración de un servidor Transfer Family detrás de un NLB, le recomendamos que se traslade a un punto final de VPC y utilice una dirección IP elástica en lugar de utilizar un NLB. Cuando utilice puertas de enlace NAT, tenga en cuenta las limitaciones de conexión que se describen a continuación.
Si utiliza el protocolo FTPS, esta configuración no solo reduce su capacidad de auditar quién accede a su servidor, sino que también puede afectar al rendimiento. AWS Transfer Family utiliza la dirección IP de origen para dividir las conexiones en nuestro plano de datos. En el caso de FTPS, esto significa que, en lugar de tener 10 000 conexiones simultáneas, los servidores Transfer Family con puertas de enlace NLB o NAT en la ruta de comunicación están limitados a solo 300 conexiones simultáneas.
Si bien recomendamos evitar los balanceadores de carga de red delante de AWS Transfer Family los servidores, si la implementación de FTP o FTPS requiere un NLB o NAT en la ruta de comunicación del cliente, siga estas recomendaciones:
+ En el caso de un NLB, utilice el puerto 21 para las comprobaciones de estado, en lugar de los puertos 8192-8200.
+ Para el AWS Transfer Family servidor, habilite la reanudación de la sesión TLS mediante la configuración. `TlsSessionResumptionMode = ENFORCED`
**nota**
Este es el modo recomendado, ya que proporciona una seguridad mejorada:
Requiere que los clientes utilicen la reanudación de la sesión TLS para las conexiones posteriores.
Ofrece garantías de seguridad más sólidas al garantizar la coherencia de los parámetros de cifrado.
Ayuda a prevenir posibles ataques de degradación.
Mantiene el cumplimiento de los estándares de seguridad a la vez que optimiza el rendimiento.
+ Si es posible, deje de usar un NLB para aprovechar al máximo los límites de AWS Transfer Family rendimiento y conexión.
Para obtener más información sobre las alternativas de NLB, póngase en contacto con el equipo de gestión de AWS Transfer Family productos a través de AWS Support. Para obtener más información sobre cómo mejorar su postura de seguridad, consulte la entrada del blog [Seis consejos para mejorar la seguridad de su AWS Transfer Family servidor](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/).
## Seguridad de la infraestructura de conectividad de VPC
Los conectores SFTP con salida de VPC proporcionan una seguridad de infraestructura mejorada mediante el aislamiento de la red y la conectividad privada:
### Ventajas del aislamiento de la red
+ **Tráfico de red privada**: todo el tráfico de los conectores a los servidores SFTP privados permanece dentro de la VPC y nunca pasa por la Internet pública.
+ **Salida controlada: en el caso** de los puntos finales públicos a los que se accede mediante VPC, el tráfico se enruta a través de las puertas de enlace NAT, lo que le permite controlar las direcciones IP de salida y las políticas de red.
+ **Controles de seguridad de VPC**: aproveche los grupos de seguridad de VPC, la red y las tablas de enrutamiento existentes para controlar el acceso a la red ACLs de los conectores.
+ **Conectividad híbrida**: acceda a los servidores SFTP locales a través de conexiones VPN o Direct Connect establecidas sin exposición adicional a Internet.
### Resource Gateway: consideraciones de seguridad
Las pasarelas de recursos proporcionan puntos de entrada seguros para el acceso a los recursos entre VPC:
+ **Implementación en zonas de disponibilidad múltiples**: las pasarelas de recursos requieren subredes en al menos dos zonas de disponibilidad para lograr una alta disponibilidad y tolerancia a los errores.
+ **Controles de grupos** de seguridad: configure los grupos de seguridad para restringir el acceso a los puertos SFTP (normalmente el puerto 22) únicamente desde fuentes autorizadas.
+ **Ubicación de subredes privadas**: implemente pasarelas de recursos en subredes privadas cuando se conecte a servidores SFTP privados para mantener el aislamiento de la red.
+ **Límites de conexión**: cada Resource Gateway admite hasta 350 conexiones simultáneas con un tiempo de espera de 350 segundos para las conexiones TCP.
# Agregue un cortafuegos de aplicaciones web
AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y contra APIs los ataques. Le permite configurar un conjunto de reglas denominadas *lista de control de acceso web* (Web ACL) que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Para obtener más información, consulte [AWS WAF Utilización para proteger su APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html).
**Para añadir AWS WAF**
1. Abra la consola de API Gateway en [https://console.aws.amazon.com/apigateway/](https://console.aws.amazon.com/apigateway/).
1. En el panel **APIs**de navegación y, a continuación, elige tu plantilla de proveedor de identidades personalizada.
1. Seleccione **Etapas**.
1. En el panel **Etapas**, seleccione el nombre de la etapa.
1. En el panel **Editor de etapas**, seleccione la pestaña **Configuración**.
1. Realice una de las siguientes acciones:
+ En **Web application firewall (WAF)**, para **Web ACL**, seleccione la web ACL que desea asociar a esta etapa.
+ Si la ACL web que necesita no existe, tendrá que crear una de la siguiente manera:
1. Seleccione **Crear ACL web**.
1. En la página de inicio AWS del servicio WAF, elija **Crear ACL web**.
1. En **Detalles de la ACL web**, en **Nombre**, escriba el nombre de la ACL web.
1. En **Reglas**, elija **Agregar reglas** y, a continuación, elija **Agregar mis propias reglas y grupos de reglas**.
1. En **Tipo de regla**, seleccione conjunto de direcciones IP para identificar una lista específica de direcciones IP.
1. En **Regla**, introduzca el nombre de la regla.
1. Para el **Conjunto de IP**, elija un conjunto de IP existente. Para crear un conjunto de IP, consulte [Creating an IP set](https://docs.aws.amazon.com/waf/latest/developerguide/waf-ip-set-creating.html).
1. Para **que la dirección IP se utilice como dirección de origen**, seleccione la **dirección IP en el encabezado**.
1. En el **Nombre del campo de encabezado**, introduzca `SourceIP`.
1. En **Posición dentro del encabezado**, elija **Primera dirección IP**.
1. En **Reserva para una dirección IP faltante**, seleccione **Coincidencia** o **No coincidencia** en función de cómo quiera gestionar una dirección IP no válida (o faltante) en el encabezado.
1. En **Acción**, elija la acción del conjunto de direcciones IP.
1. Para la **acción de ACL web predeterminada para las solicitudes que no coincidan con ninguna regla**, elija **Permitir** o **Bloquear** y, a continuación, haga clic en **Siguiente**.
1. Para los pasos 4 y 5, seleccione **Siguiente**.
1. En **Revisar y crear**, revise sus opciones y, a continuación, elija **Crear ACL web**.
1. Elija **Save changes (Guardar cambios)**.
1. Elija **Recursos**.
1. Para **Acciones**, elija **Implementar API**.
Para obtener información sobre la seguridad de Transfer Family con un firewall de aplicaciones AWS web, consulte [Proteger Transfer Family con un firewall de AWS aplicaciones y Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/) en el blog AWS de almacenamiento.
# Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio de llamadas que se puede manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente a los que de otra manera no tendría permiso para acceder. Para evitarlo, AWS proporciona herramientas que le ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta. Para obtener una descripción detallada de este problema, consulte [el problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) en la *Guía del usuario de IAM*.
Recomendamos utilizar las claves de contexto de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)y las claves de contexto en las políticas de recursos para limitar los permisos que AWS Transfer Family tiene para el recurso. Si se utilizan ambas claves contextuales de condición global, el valor `aws:SourceAccount` y la cuenta del valor `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utilicen en la misma declaración de política.
La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar el nombre de recurso de Amazon (ARN) exacto del recurso que desea permitir. Si está especificando varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con caracteres comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:transfer::region::account-id:server/*`.
AWS Transfer Family utiliza los siguientes tipos de funciones:
+ **Función de usuario**: permite a los usuarios gestionados por el servicio acceder a los recursos de Transfer Family necesarios. AWS Transfer Family asume esta función en el contexto del ARN de un usuario de Transfer Family.
+ **Rol de acceso**: proporciona acceso únicamente a los archivos de Amazon S3 que se están transfiriendo. Para las AS2 transferencias entrantes, la función de acceso utiliza el nombre de recurso de Amazon (ARN) para el acuerdo. Para las AS2 transferencias salientes, la función de acceso utiliza el ARN del conector.
+ **Rol de invocación**: para usar con Amazon API Gateway como proveedor de identidad personalizado del servidor. Transfer Family asume este rol en el contexto de un ARN de servidor de Transfer Family.
+ **Función de registro**: se utiliza para registrar entradas en Amazon CloudWatch. Transfer Family utiliza este rol para registrar los detalles de éxito y error junto con la información sobre las transferencias de archivos. Transfer Family asume este rol en el contexto de un ARN de servidor de Transfer Family. Para las AS2 transferencias salientes, la función de registro utiliza el ARN del conector.
+ **Rol de ejecución**: permite a un usuario de Transfer Family llamar e iniciar flujos de trabajo. Transfer Family asume este rol en el contexto de un ARN de flujo de trabajo de Transfer Family.
Para obtener más información, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
**nota**
En los ejemplos siguientes, sustituya cada uno *user input placeholder* por su propia información.
**nota**
En nuestros ejemplos, utilizamos tanto `ArnLike` como `ArnEquals`. Funcionalmente son idénticos y, por lo tanto, puede utilizar cualquiera de los dos al crear sus políticas. La documentación de Transfer Family utiliza `ArnLike` cuando la condición contiene un carácter comodín, y utiliza `ArnEquals` para indicar una condición de coincidencia exacta.
## AWS El rol de usuario de Transfer Family, prevención de problemas entre servicios
En el siguiente ejemplo de política, se permite que cualquier servidor de la cuenta asuma el rol.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:user/*"
}
}
}
]
}
```
En el siguiente ejemplo de política se permite que cualquier usuario de un servidor específico asuma el rol.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:user/server-id/*"
}
}
}
]
}
```
En el siguiente ejemplo de política se permite que cualquier usuario específico de un servidor específico asuma el rol.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:user/server-id/user-name"
}
}
}
]
}
```
## AWS Función de flujo de trabajo de Transfer Family, prevención policial confusa entre servicios
En el siguiente ejemplo de política, se permite que cualquier flujo de trabajo de la cuenta asuma el rol.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-west-2:111122223333:workflow/*"
}
}
}
]
}
```
La política del ejemplo siguiente permite que un flujo específico de trabajo asuma el rol.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-west-2:111122223333:workflow/workflow-id"
}
}
}
]
}
```
## AWS El papel de Transfer Family, conector entre servicios, policía confusa, prevención
El siguiente ejemplo de política permite que cualquier conector de la cuenta asuma la función.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:connector/*"
}
}
}
]
}
```
El siguiente ejemplo de política permite que un conector específico asuma la función.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:connector/connector-id"
}
}
}
]
}
```
## AWS Transfer Family: función de registro e invocación, prevención adjunta confusa entre servicios
**nota**
Los siguientes ejemplos se pueden utilizar tanto en los roles de registro como en los de invocación.
En estos ejemplos, puede eliminar los detalles del ARN de un flujo de trabajo si el servidor no tiene ningún flujo de trabajo adjunto.
El siguiente ejemplo logging/invocation de política permite que cualquier servidor (y flujo de trabajo) de la cuenta asuma la función.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllServersWithWorkflowAttached",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:transfer:us-west-2:111122223333:server/*",
"arn:aws:transfer:us-west-2:111122223333:workflow/*"
]
}
}
}
]
}
```
El siguiente ejemplo logging/invocation de política permite que un servidor (y un flujo de trabajo) específicos asuma la función.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificServerWithWorkflowAttached",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:transfer:us-west-2:111122223333:server/server-id",
"arn:aws:transfer:us-west-2:111122223333:workflow/workflow-id"
]
}
}
}
]
}
```
# AWS políticas gestionadas para AWS Transfer Family
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. [Crear políticas gestionadas por el cliente AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a tu equipo solo los permisos que necesita requiere tiempo y experiencia. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas administradas de AWS , consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*. Para obtener una lista detallada de todas las políticas AWS administradas, consulta la [guía de referencia de políticas AWS administradas](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSTransfer ConsoleFullAccess
La `AWSTransferConsoleFullAccess` política proporciona acceso completo a Transfer Family a través de la consola AWS de administración. Para obtener más información, consulte [Función vinculada al servicio de AWS Transfer Family](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSTransferConsoleFullAccess.html).
## AWS política gestionada: AWSTransfer FullAccess
La política de `AWSTransferFullAccess` proporciona acceso completo a los servicios de Transfer Family. Para obtener más información, consulte [Función vinculada al servicio de AWS Transfer Family](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSTransferFullAccess.html).
## AWS política gestionada: AWSTransfer LoggingAccess
La `AWSTransferLoggingAccess` política otorga a AWS Transfer Family acceso completo para crear flujos de registro y grupos y guardar eventos de registro en su cuenta. Para obtener más información, consulte [Función vinculada al servicio de AWS Transfer Family](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSTransferLoggingAccess.html).
## AWS política gestionada: AWSTransfer ReadOnlyAccess
La política de `AWSTransferReadOnlyAccess` proporciona acceso de solo lectura a los servicios de Transfer Family. Para obtener más información, consulte [Función vinculada al servicio de AWS Transfer Family](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSTransferReadOnlyAccess.html).
## AWS Transfiere las actualizaciones de Family a las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de AWS Transfer Family desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial de documentos para AWS Transfer Family](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Actualización de la documentación | Se agregaron secciones para cada una de las políticas administradas por Transfer Family. | 27 de enero de 2022 |
| [AWSTransferReadOnlyAccess](#security-iam-awsmanpol-transferreadonlyaccess): actualización de una política actual | AWS Transfer Family agregó nuevos permisos para permitir la lectura de la política AWS Managed Microsoft AD. | 30 de septiembre de 2021 |
| AWS Transfer Family comenzó a rastrear los cambios | AWS Transfer Family comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 15 de junio de 2021 |