Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Gestión de identidad y acceso en AWS Transit Gateway
AWS utiliza credenciales de seguridad para identificarlo y concederle acceso a sus AWS recursos. Puede utilizar las funciones de AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen sus AWS recursos de forma completa o limitada, sin compartir sus credenciales de seguridad.
De forma predeterminada, los usuarios de IAM no tienen permiso para crear, ver o modificar AWS recursos. Para permitir que un usuario acceda a los recursos, por ejemplo, una puerta de enlace de tránsito y realice tareas, debe crear una política de IAM que conceda al usuario permiso para utilizar los recursos específicos y las acciones de API que necesita. A continuación, asocie la política al usuario al grupo al que pertenece el usuario. Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.
Para trabajar con una pasarela de tránsito, una de las siguientes políticas AWS gestionadas podría satisfacer tus necesidades:
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## Políticas de ejemplo para administrar las puerta de enlaces de tránsito
A continuación, se muestran políticas de IAM de ejemplo para el trabajo con puerta de enlaces de tránsito.
**Crear una puerta de enlace de tránsito con las etiquetas obligatorias**
El siguiente ejemplo permite a los usuarios crear una puerta de enlace de tránsito. La clave de condición `aws:RequestTag` precisa que los usuarios etiqueten la puerta de enlace de tránsito con la etiqueta `stack=prod`. La clave de condición `aws:TagKeys` utiliza el modificador `ForAllValues` para indicar que solo la clave `stack` está permitida en la solicitud (no se puede especificar ninguna otra etiqueta). Si los usuarios no transmiten esta etiqueta en concreto cuando crean la puerta de enlace de tránsito o si no especifican ninguna etiqueta, la solicitud dará un error.
La segunda instrucción utiliza la clave de condición `ec2:CreateAction` para permitir a los usuarios crear etiquetas únicamente en el contexto de `CreateTransitGateway`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedTGWs",
"Effect": "Allow",
"Action": "ec2:CreateTransitGateway",
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/stack": "prod"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"stack"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateTransitGateway"
}
}
}
]
}
```
------
**Usar tablas de enrutamiento de puerta de enlaces de tránsito**
El siguiente ejemplo permite a los usuarios crear y eliminar tablas de ruteo de puerta de enlace de tránsito solo para una puerta de enlace de tránsito específica (`tgw-11223344556677889`). Los usuarios también crean y sustituyen rutas en cualquier tabla de enrutamiento de puerta de enlace de tránsito, pero solo para las vinculaciones que tienen la etiqueta `network=new-york-office`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGatewayRouteTable",
"ec2:CreateTransitGatewayRouteTable"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11223344556677889",
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/network": "new-york-office"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*"
}
]
}
```
------
# Utilice funciones vinculadas a servicios para las pasarelas de tránsito en Transit Gateway AWS
Amazon VPC utiliza roles vinculados a servicios para los permisos que necesita para llamar a otros servicios de AWS en su nombre. Para obtener más información, consulte [Roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) en la *Guía del usuario de IAM*.
## Rol vinculado a servicios de la puerta de enlace de tránsito
Amazon VPC utiliza roles vinculados a servicios para los permisos que necesita para llamar a otros servicios AWS en su nombre cuando trabaja con una puerta de enlace de tránsito.
### Permisos concedidos por el rol vinculado a servicios
Amazon VPC utiliza el rol vinculado al servicio denominado **AWSServiceRoleForVPCTransitGateway** para realizar las siguientes acciones en su nombre cuando trabaja con una pasarela de tránsito:
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:ModifyNetworkInterfaceAttribute`
+ `ec2:DeleteNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnAssignIpv6Addresses`
El rol **AWSServiceRoleForVPCTransitGateway** confía en los siguientes servicios para que asuman el rol:
+ `transitgateway.amazonaws.com`
**AWSServiceRoleForVPCTransitGateway** usa la política administrada[AWSVPCTransitGatewayServiceRolePolicy](security-iam-awsmanpol.md#AWSVPCTransitGatewayServiceRolePolicy).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
### Creación del rol vinculado a servicios
No es necesario crear manualmente el rol de **AWSServiceRoleForVPCTransitGateway**. Amazon VPC crea este rol para cuando se asocia una VPC de la cuenta a una puerta de enlace de tránsito.
### Editar el rol vinculado a servicios
Puede editar la descripción de **AWSServiceRoleForVPCTransitGateway** mediante IAM. Para obtener más información, consulte la [Descripción sobre cómo editar un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) en la *Guía del usuario de IAM*.
### Eliminar el rol vinculado a servicios
**Si ya no necesita usar las pasarelas de tránsito, le recomendamos que elimine AWSService RoleFor VPCTransit Gateway.**
Puedes eliminar este rol vinculado al servicio solo después de eliminar todos los adjuntos de VPC de Transit Gateway de tu cuenta. AWS Esto garantiza que no pueda eliminar accidentalmente el permiso para acceder a sus vinculaciones de VPC.
Puede utilizar la consola, la CLI o la API de IAM para eliminar los roles vinculados a servicios. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) en la *Guía del usuario de IAM*.
Tras eliminar **AWSServiceRoleForVPCTransitGateway**, Amazon VPC vuelve a crear el rol si adjuntas una VPC de tu cuenta a una pasarela de tránsito.
# AWS políticas gestionadas para pasarelas de tránsito en AWS Transit Gateway
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Para trabajar con una pasarela de tránsito, una de las siguientes políticas AWS gestionadas podría satisfacer tus necesidades:
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## AWS política gestionada: AWSVPCTransit GatewayServiceRolePolicy
Esta política está asociada al rol [AWSServiceRoleForVPCTransitGateway](service-linked-roles.md). Esto permite a Amazon VPC crear y administrar recursos para las conexiones de puerta de enlace de tránsito.
Para ver los permisos de esta política, consulte [AWSVPCTransitGatewayServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCTransitGatewayServiceRolePolicy.html) en la *Referencia de la política administrada de AWS *.
## Transit Gateway actualiza las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas para las pasarelas de tránsito desde que Amazon VPC comenzó a realizar el seguimiento de estos cambios en marzo de 2021.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Amazon VPC comenzó a hacer un seguimiento de los cambios | Amazon VPC comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 1 de marzo de 2021 |
# Red ACLs para pasarelas de tránsito en AWS Transit Gateway
Una lista de control de acceso a la red (NACL) es una capa opcional de seguridad.
Las reglas de la lista de control de acceso a la red (NACL) se aplican de manera diferente, en función del escenario:
+ [Misma subred para instancias EC2 y la asociación de puerta de enlace de tránsito](#nacl-tgw-same-subnet)
+ [Diferentes subredes para instancias EC2 y la asociación de puerta de enlace de tránsito](#nacl-tgw-different-subnet)
## Misma subred para instancias EC2 y la asociación de puerta de enlace de tránsito
Considere una configuración en la que tenga instancias de EC2 y una asociación de puerta de enlace de tránsito en la misma subred. La misma ACL de red se utiliza para el tráfico de las instancias EC2 a la puerta de enlace de tránsito y para el tráfico proveniente de la puerta de enlace de tránsito a las instancias.
Las reglas de NACL se aplican de la siguiente manera para el tráfico de instancias para la puerta de enlace de tránsito:
+ Las reglas de salida utilizan la dirección IP de destino para la evaluación.
+ Las reglas de entrada utilizan la dirección IP de origen para la evaluación.
Las reglas de NACL se aplican de la siguiente manera para el tráfico proveniente de la puerta de enlace de tránsito hacia las instancias:
+ Las reglas de salida no se evalúan.
+ Las reglas de entrada no se evalúan.
## Diferentes subredes para instancias EC2 y la asociación de puerta de enlace de tránsito
Considere una configuración en la que tenga instancias EC2 en una subred y una asociación de puerta de enlace de tránsito en una subred diferente, y cada subred está asociada a una ACL de red diferente.
Las reglas de una ACL de red se aplican de la siguiente manera para la subred de instancias EC2:
+ Las reglas de salida utilizan la dirección IP de destino para evaluar el tráfico de las instancias a la puerta de enlace de tránsito.
+ Las reglas de salida utilizan la dirección IP de destino para evaluar el tráfico de la puerta de enlace de tránsito a las instancias.
Las reglas NACL se aplican de la siguiente manera para la subred de la puerta de enlace de tránsito:
+ Las reglas de salida utilizan la dirección IP de destino para evaluar el tráfico de la puerta de enlace de tránsito a las instancias.
+ Las reglas de salida no se utilizan para evaluar el tráfico de las instancias a la puerta de enlace de tránsito.
+ Las reglas de entrada utilizan la dirección IP de origen para evaluar el tráfico de las instancias a la puerta de enlace de tránsito.
+ Las reglas de entrada no se utilizan para evaluar el tráfico de la puerta de enlace de tránsito a las instancias.
## Prácticas recomendadas
Utilice una subred independiente para cada archivo asociado a la VPC de la puerta de enlace de tránsito. En cada subred, utilice un CIDR pequeño, por ejemplo /28, a fin de tener más direcciones para los recursos de EC2. Cuando utilice una subred independiente, puede configurar los siguientes recursos:
+ Mantenga abierta la NACL entrante y saliente asociada con las subredes de la puerta de enlace de tránsito.
+ En función del flujo de tráfico, puede aplicarlas NACLs a las subredes de carga de trabajo.
Para obtener más información sobre cómo funcionan las conexiones de VPC, consulte [Vinculaciones de recursos](how-transit-gateways-work.md#tgw-attachments-overview).