Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de identidades y accesos para Amazon VPC Lattice
En las siguientes secciones, se describe cómo se puede utilizar AWS Identity and Access Management (IAM) para proteger los recursos de VPC Lattice, controlando quién puede realizar las acciones de la API de VPC Lattice.
**Topics**
+ [Cómo funciona Amazon VPC Lattice con IAM](security_iam_service-with-iam.md)
+ [Permisos de la API Amazon VPC Lattice](additional-api-permissions.md)
+ [Políticas basadas en identidad para Amazon VPC Lattice](security_iam_id-based-policies.md)
+ [Uso de roles vinculados a servicios para Amazon VPC Lattice](using-service-linked-roles.md)
+ [AWS políticas gestionadas para Amazon VPC Lattice](managed-policies.md)
# Cómo funciona Amazon VPC Lattice con IAM
Antes de utilizar IAM para administrar el acceso a VPC Lattice, conozca qué características de IAM se pueden utilizar con VPC Lattice.
| Característica de IAM | Compatibilidad con VPC Lattice |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | Sí |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
*Para obtener una visión general de cómo funcionan VPC Lattice y otros AWS servicios con la mayoría de las funciones de IAM, consulte los [AWS servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Políticas basadas en identidad para VPC Lattice
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
## Políticas basadas en recursos de VPC Lattice
**Compatibilidad con las políticas basadas en recursos:** sí
Las políticas basadas en recursos son documentos de políticas de JSON que se adjuntan a un recurso. AWS En AWS los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico de ese servicio. AWS Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política basada en recursos.
VPC Lattice admite *políticas de autenticación*, una política basada en recursos que le permite controlar el acceso a los servicios de su red de servicios. Para obtener más información, consulte [Controle el acceso a los servicios de VPC Lattice mediante políticas de autenticación](auth-policies.md).
VPC Lattice también admite políticas de permisos basadas en recursos para su integración con AWS Resource Access Manager. Puede usar estas políticas basadas en recursos para conceder permisos para administrar la conectividad con otras AWS cuentas u organizaciones para los servicios, las configuraciones de recursos y las redes de servicios. Para obtener más información, consulte [Cómo compartir las entidades de VPC Lattice](sharing.md).
## Acciones de política para VPC Lattice
**Compatibilidad con las acciones de políticas:** sí
En una instrucción de política de IAM, puede especificar cualquier acción de API de cualquier servicio que sea compatible con IAM. Para VPC Lattice, use el siguiente prefijo con el nombre de la acción de API: `vpc-lattice:`. Por ejemplo, `vpc-lattice:CreateService`, `vpc-lattice:CreateTargetGroup` y `vpc-lattice:PutAuthPolicy`.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [ "vpc-lattice:action1", "vpc-lattice:action2" ]
```
También puede utilizar caracteres comodín para especificar varias acciones. Por ejemplo, puede especificar todas las acciones cuyos nombres comiencen con la palabra `Get` del siguiente modo:
```
"Action": "vpc-lattice:Get*"
```
Para ver una lista completa de las acciones de API de VPC Lattice, consulte [Acciones definidas por Amazon VPC Lattice ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-actions-as-permissions) en la *Referencia de autorización de servicios*.
## Recursos de políticas para VPC Lattice
**Compatibilidad con los recursos de políticas:** sí
En una instrucción de política de IAM, el elemento `Resource` especifica el objeto o los objetos que abarca la instrucción. En el caso de VPC Lattice, cada declaración de política de IAM se aplica a los recursos que especifique mediante su uso. ARNs
El formato del nombre de recurso de Amazon (ARN) específico depende del recurso. Cuando proporciones un ARN, sustituye el *italicized* texto por la información específica del recurso.
+ **Suscripciones al registro de acceso:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:accesslogsubscription/access-log-subscription-id"
```
+ **Oyentes:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id"
```
+ **Puertas de enlace de recursos**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourcegateway/resource-gateway-id"
```
+ **Configuración de recursos**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id"
```
+ **Reglas:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id/rule/rule-id"
```
+ **Servicios:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id"
```
+ **Redes de servicios:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetwork/service-network-id"
```
+ **Asociaciones de servicios de redes de servicios:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkserviceassociation/service-network-service-association-id"
```
+ **Asociaciones de configuración de recursos de red de servicios**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkresourceassociation/service-network-resource-association-id"
```
+ **Asociaciones de VPC de redes de servicios:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkvpcassociation/service-network-vpc-association-id"
```
+ **Grupos de destino:**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:targetgroup/target-group-id"
```
## Claves de condición de política para VPC Lattice
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
*Para ver una lista de las claves de estado de VPC Lattice, consulte Claves de [condición de Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-policy-keys) en la Referencia de autorización de servicio.*
AWS admite claves de condición globales y claves de condición específicas del servicio. Para obtener información sobre las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales en la Guía](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) del usuario de *IAM*.
## Listas de control de acceso (ACLs) en VPC Lattice
**Soporta ACLs**: No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## Control de acceso basado en atributos (ABAC) con VPC Lattice
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del director coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con VPC Lattice
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Roles de servicio para VPC Lattice
**Compatible con roles de servicio:** No
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir la funcionalidad de VPC Lattice. Edite los roles de servicio solo cuando VPC Lattice proporcione orientación para hacerlo.
## Roles vinculados a servicios para VPC Lattice
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener información sobre cómo crear o administrar roles vinculados a servicios de VPC Lattice, consulte [Uso de roles vinculados a servicios para Amazon VPC Lattice](using-service-linked-roles.md).
# Permisos de la API Amazon VPC Lattice
Debe conceder a las identidades de IAM (tales como usuarios o roles) permisos para llamar a las acciones de la API de VPC Lattice que necesiten, tal y como se describe en [Acciones de política para VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions). Además, para algunas acciones de VPC Lattice, debes conceder permiso a las identidades de IAM para invocar acciones específicas desde otras. AWS APIs
## Permisos necesarios para la API
Cuando llame a las siguientes acciones de la API, debe conceder a los usuarios de IAM permiso para llamar a las acciones especificadas.
`CreateResourceConfiguration`
+ `vpc-lattice:CreateResourceConfiguration`
+ `ec2:DescribeSubnets`
+ `rds:DescribeDBInstances`
+ `rds:DescribeDBClusters`
`CreateResourceGateway`
+ `vpc-lattice:CreateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
`DeleteResourceGateway`
+ `vpc-lattice:DeleteResourceGateway`
+ `ec2:DeleteNetworkInterface`
`UpdateResourceGateway`
+ `vpc-lattice:UpdateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnassignPrivateIpAddresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:ModifyNetworkInterfaceAttribute`
`CreateServiceNetworkResourceAssociation`
+ `vpc-lattice:CreateServiceNetworkResourceAssociation`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DescribeNetworkInterfaces`
`CreateServiceNetworkVpcAssociation`
+ `vpc-lattice:CreateServiceNetworkVpcAssociation`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeSecurityGroups` (Solo es necesario cuando se proporcionan grupos de seguridad)
`UpdateServiceNetworkVpcAssociation`
+ `vpc-lattice:UpdateServiceNetworkVpcAssociation`
+ `ec2:DescribeSecurityGroups` (Solo es necesario cuando se proporcionan grupos de seguridad)
`CreateTargetGroup`
+ `vpc-lattice:CreateTargetGroup`
+ `ec2:DescribeVpcs`
`RegisterTargets`
+ `vpc-lattice:RegisterTargets`
+ `ec2:DescribeInstances` (Solo es necesario cuando `INSTANCE` es el tipo de grupo de destino)
+ `ec2:DescribeVpcs` (Solo es necesario cuando `INSTANCE` o `IP` es el tipo de grupo de destino)
+ `ec2:DescribeSubnets` (Solo es necesario cuando `INSTANCE` o `IP` es el tipo de grupo de destino)
+ `lambda:GetFunction` (Solo es necesario cuando `LAMBDA` es el tipo de grupo de destino)
+ `lambda:AddPermission` (Solo es necesario si el grupo de destino aún no tiene permiso para invocar la función de Lambda especificada)
`DeregisterTargets`
+ `vpc-lattice:DeregisterTargets`
`CreateAccessLogSubscription`
+ `vpc-lattice:CreateAccessLogSubscription`
+ `logs:GetLogDelivery`
+ `logs:CreateLogDelivery`
`DeleteAccessLogSubscription`
+ `vpc-lattice:DeleteAccessLogSubscription`
+ `logs:DeleteLogDelivery`
`UpdateAccessLogSubscription`
+ `vpc-lattice:UpdateAccessLogSubscription`
+ `logs:UpdateLogDelivery`
# Políticas basadas en identidad para Amazon VPC Lattice
De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar los recursos de VPC Lattice. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
*Para obtener más información sobre las acciones y los tipos de recursos definidos por VPC Lattice, incluido el formato de cada uno de los ARNs tipos de recursos, consulte [Actions, Resources and Condition Keys for Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html) en la Referencia de autorización de servicios.*
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Permisos necesarios adicionales para obtener acceso completo](#security_iam_id-based-policy-additional-permissions)
+ [Ejemplos de políticas basadas en identidad de VPC Lattice](#security_iam_id-based-policy-examples)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidad determinan si alguien puede crear, acceder o eliminar los recursos de VPC Lattice de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Permisos necesarios adicionales para obtener acceso completo
Para usar otros AWS servicios con los que está integrado VPC Lattice y todo el conjunto de funciones de VPC Lattice, debe tener permisos adicionales específicos. Estos permisos no están incluidos en la política administrada de `VPCLatticeFullAccess` debido al riesgo de escalada de privilegios [suplente confuso](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html).
Debe adjuntar la siguiente política a su rol y utilizarla junto con la política administrada de `VPCLatticeFullAccess`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream",
"lambda:AddPermission",
"s3:PutBucketPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"vpc-lattice.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*"
}
]
}
```
------
Esta política ofrece los siguientes permisos adicionales:
+ `iam:AttachRolePolicy`: permite asociar la política administrada especificada para el rol de IAM especificado.
+ `iam:PutRolePolicy`: permite agregar o actualizar un documento de política insertado que está integrado en el rol de IAM especificado.
+ `s3:PutBucketPolicy`: permite aplicar una política de bucket a un bucket de Amazon S3.
+ `firehose:TagDeliveryStream`: permite actualizar o agregar etiquetas a los flujos de entrega de Firehose.
## Ejemplos de políticas basadas en identidad de VPC Lattice
**Topics**
+ [Ejemplo de política: administrar las asociaciones de VPC a una red de servicios](#security_iam_id-based-policy-examples-vpc-to-service-network-association)
+ [Ejemplo de política: crear asociaciones de servicios a una red de servicios](#security_iam_id-based-policy-examples-service-to-service-network-association)
+ [Ejemplo de política: añadir etiquetas a los recursos](#security_iam_id-based-policy-examples-tag-resources)
+ [Ejemplo de política: crear un rol vinculado a un servicio](#security_iam_id-based-policy-examples-service-linked-role)
### Ejemplo de política: administrar las asociaciones de VPC a una red de servicios
En el siguiente ejemplo se muestra una política que otorga a los usuarios con esta política el permiso para crear, actualizar y eliminar las asociaciones de VPC a una red de servicios, pero solo para la VPC y la red de servicios especificada en la condición. Para obtener más información acerca de cómo especificar claves de condición, consulte [Claves de condición de política para VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkVpcAssociation",
"vpc-lattice:UpdateServiceNetworkVpcAssociation",
"vpc-lattice:DeleteServiceNetworkVpcAssociation"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"vpc-lattice:ServiceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example",
"vpc-lattice:VpcId": "vpc-1a2b3c4d"
}
}
}
]
}
```
------
### Ejemplo de política: crear asociaciones de servicios a una red de servicios
Si no utiliza claves de condición para controlar el acceso a los recursos de VPC Lattice, puede especificar los recursos ARNs del `Resource` elemento para controlar el acceso.
El siguiente ejemplo muestra una política que limita las asociaciones de servicios a una red de servicios que los usuarios con esta política puedan crear especificando el servicio y la red ARNs de servicios que se pueden utilizar con la acción de la `CreateServiceNetworkServiceAssociation` API. Para obtener más información sobre cómo especificar los valores de los ARN, consulte [Recursos de políticas para VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkServiceAssociation"
],
"Resource": [
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetworkserviceassociation/*",
"arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-04d5cc9b88example",
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example"
]
}
]
}
```
------
### Ejemplo de política: añadir etiquetas a los recursos
En el siguiente ejemplo se muestra una política que otorga a los usuarios con esta política permiso para crear etiquetas en los recursos de VPC Lattice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:TagResource"
],
"Resource": "arn:aws:vpc-lattice:us-west-2:123456789012:*/*"
}
]
}
```
------
### Ejemplo de política: crear un rol vinculado a un servicio
VPC Lattice requiere permisos para crear un rol vinculado a un servicio la primera vez que un usuario de VPC Lattice crea Cuenta de AWS recursos de VPC Lattice. Si el rol vinculado al servicio aún no existe, VPC Lattice lo crea en su cuenta. La función vinculada al servicio otorga permisos a VPC Lattice para que pueda llamar a otras personas en su nombre. Servicios de AWS Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon VPC Lattice](using-service-linked-roles.md).
Para que la creación automática de roles se realice correctamente, los usuarios deben disponer de permisos para la acción `iam:CreateServiceLinkedRole`.
```
"Action": "iam:CreateServiceLinkedRole"
```
En el siguiente ejemplo se muestra una política que concede a los usuarios con esta política permiso para crear un rol vinculado a servicios para VPC Lattice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"vpc-lattice.amazonaws.com"
}
}
}
]
}
```
------
Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
# Uso de roles vinculados a servicios para Amazon VPC Lattice
Amazon VPC Lattice utiliza un rol vinculado a un servicio para los permisos que necesita para llamar a otros en su nombre. Servicios de AWS Para obtener más información, consulte [Roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) en la *Guía del usuario de IAM*.
VPC Lattice usa el rol vinculado al servicio denominado. AWSServiceRoleForVpcLattice
## Permisos de roles vinculados a servicios de VPC Lattice
El rol vinculado a servicio de **AWSServiceRoleForVpcLattice** confía en el siguiente servicio para asumir el rol:
+ `vpc-lattice.amazonaws.com`
La política de permisos de roles denominada AWSVpcLatticeServiceRolePolicy permite a VPC Lattice publicar CloudWatch métricas en el espacio de nombres. `AWS/VpcLattice` *Para obtener más información, consulte la Referencia de políticas [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html)administradas AWS .*
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Ejemplo de política: crear un rol vinculado a un servicio](security_iam_id-based-policies.md#security_iam_id-based-policy-examples-service-linked-role).
## Crear un rol vinculado a un servicio para VPC Lattice
No necesita crear manualmente un rol vinculado a servicios. Cuando crea recursos de VPC Lattice en la Consola de administración de AWS, la o la API AWS CLI AWS , VPC Lattice crea el rol vinculado al servicio por usted.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear recursos de VPC Lattice, VPC Lattice vuelve a crear el rol vinculado a servicios por usted.
## Edición de un rol vinculado a un servicio para VPC Lattice
Puede utilizar IAM para editar la descripción de **AWSServiceRoleForVpcLattice**. Para obtener más información, consulte la [Descripción sobre cómo editar un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para VPC Lattice
Si ya no necesita usar Amazon VPC Lattice, le recomendamos que lo elimine. **AWSServiceRoleForVpcLattice**
Solo puede eliminar este rol vinculado a un servicio después de eliminar todos los recursos de VPC Lattice en su Cuenta de AWS.
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al **AWSServiceRoleForVpcLattice**servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) en la *Guía del usuario de IAM*.
Después de eliminar un rol vinculado a un servicio, VPC Lattice crea de nuevo el rol si se crean recursos de VPC Lattice en su Cuenta de AWS.
## Regiones admitidas para los roles vinculados a servicios de VPC Lattice
VPC Lattice admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible.
# AWS políticas gestionadas para Amazon VPC Lattice
Una política AWS gestionada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: VPCLattice FullAccess
Esta política proporciona acceso completo a Amazon VPC Lattice y acceso limitado a otros servicios dependientes. Incluye permisos para hacer lo siguiente:
+ ACM: recupera el ARN del SSL/TLS certificado para los nombres de dominio personalizados.
+ CloudWatch — Ver los registros de acceso y los datos de monitoreo.
+ CloudWatch Registros: configure y envíe los registros de acceso a CloudWatch Logs.
+ Amazon EC2: configure las interfaces de red y recupere información sobre las instancias EC2 y. VPCs Se utiliza para crear configuraciones de recursos, pasarelas de recursos y grupos de objetivos, configurar asociaciones de entidades de VPC Lattice y registrar destinos.
+ Elastic Load Balancing: recupere información sobre un equilibrador de carga de aplicación para registrarlo como destino.
+ Firehose: recupera información sobre los flujos de entrega que se utilizan para almacenar los registros de acceso.
+ Lambda: recupere información sobre una función de Lambda para registrarla como destino.
+ Amazon RDS: recupere información sobre clústeres e instancias de RDS.
+ Amazon S3: recupere información acerca de los buckets de S3 utilizados para almacenar registros de acceso.
Para ver los permisos de esta política, consulte [VPCLatticeFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeFullAccess.html) en la *Referencia de la política administrada de AWS *.
Para usar otros AWS servicios con los que está integrado VPC Lattice y todo el conjunto de funciones de VPC Lattice, debe tener permisos adicionales específicos. Estos permisos no están incluidos en la política administrada `VPCLatticeFullAccess` debido al riesgo de escalada de privilegios [suplente confuso](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html). Para obtener más información, consulte [Permisos necesarios adicionales para obtener acceso completo](security_iam_id-based-policies.md#security_iam_id-based-policy-additional-permissions).
## AWS política gestionada: VPCLattice ReadOnlyAccess
Esta política proporciona acceso de solo lectura a Amazon VPC Lattice y acceso limitado a otros servicios dependientes. Incluye permisos para hacer lo siguiente:
+ ACM: recupera el ARN del SSL/TLS certificado para los nombres de dominio personalizados.
+ CloudWatch — Ver los registros de acceso y los datos de monitoreo.
+ CloudWatch Registros: consulte la información de entrega de registros para las suscripciones a los registros de acceso.
+ Amazon EC2: recupere información sobre las instancias EC2 y cree grupos de objetivos y VPCs registre los objetivos.
+ Elastic Load Balancing: recupere información sobre un equilibrador de carga de aplicación.
+ Firehose: recupera información sobre los flujos de entrega para acceder a la entrega de registros.
+ Lambda: consulte información acerca de una función de Lambda.
+ Amazon RDS: recupere información sobre clústeres e instancias de RDS.
+ Amazon S3: recupere información sobre los buckets de S3 para la entrega de registros de acceso.
Para ver los permisos de esta política, consulte [VPCLatticeReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeReadOnlyAccess.html) en la *Referencia de la política administrada de AWS *.
## AWS política gestionada: VPCLattice ServicesInvokeAccess
Esta política proporciona acceso para invocar los servicios de Amazon VPC Lattice.
Para ver los permisos de esta política, consulte [VPCLatticeServicesInvokeAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeServicesInvokeAccess.html) en la *Referencia de la política administrada de AWS *.
## AWS política gestionada: AWSVpc LatticeServiceRolePolicy
Esta política se adjunta a un rol vinculado a un servicio denominado **AWSServiceRoleForVpcLattice**para permitir que VPC Lattice realice acciones en su nombre. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon VPC Lattice](using-service-linked-roles.md).
Para ver los permisos de esta política, consulte [AWSVpcLatticeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html) en la *Referencia de la política administrada de AWS *.
## Actualizaciones de VPC Lattice a las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas para VPC Lattice desde que este servicio comenzó a realizar un seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS para consultar la Guía del usuario de VPC Lattice.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice añade permisos de solo lectura para describir los clústeres e instancias de Amazon RDS. | 1 de diciembre de 2024 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice añade permisos de solo lectura para describir los clústeres e instancias de Amazon RDS. | 1 de diciembre de 2024 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice añade permisos para permitir que VPC Lattice cree una interfaz de red gestionada por el solicitante. | 1 de diciembre de 2024 |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice añade una nueva política para conceder permisos de acceso total a Amazon VPC Lattice y acceso limitado a otros servicios dependientes. | 31 de marzo de 2023 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice añade una nueva política para conceder permisos de acceso de solo lectura a Amazon VPC Lattice y acceso limitado a otros servicios dependientes. | 31 de marzo de 2023 |
| [VPCLatticeServicesInvokeAccess](#vpc-lattice-services-invoke-access-policy) | VPC Lattice añade una nueva política para conceder acceso para invocar los servicios de Amazon VPC Lattice. | 31 de marzo de 2023 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice añade permisos a su función vinculada al servicio para permitir que VPC Lattice publique métricas en el espacio de nombres. CloudWatch AWS/VpcLattice La AWSVpcLatticeServiceRolePolicy política incluye el permiso para activar la acción de la API. CloudWatch [PutMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html) Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon VPC Lattice](using-service-linked-roles.md). | 5 de diciembre de 2022 |
| Inicio de seguimiento de cambios de VPC Lattice | VPC Lattice comenzó a realizar un seguimiento de los cambios en sus AWS políticas gestionadas. | 5 de diciembre de 2022 |