Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de roles de suplantación
Con los roles de suplantación, los administradores configuran el acceso programático a los buzones de correo de los usuarios sin introducir las credenciales del usuario. Los servicios y herramientas pueden asumir un rol de suplantación para realizar acciones en los buzones de correo de los usuarios. La suplantación solo es compatible con el protocolo EWS.
## Información general sobre roles de suplantación
Para permitir la suplantación, los administradores deben crear un rol de suplantación con las siguientes propiedades:
+ **Tipo de rol**: elija entre **Acceso total** o **Solo lectura**. El tipo de rol limita el tipo de operaciones que puede realizar un rol.
+ **Reglas**: una lista de reglas que definen a qué usuarios puede suplantar el rol de suplantación.
Amazon WorkMail evalúa las reglas en función de las siguientes condiciones:
+ Si cualquier regla **DENY** coincide, la política deniega la suplantación. Las reglas **DENY** tienen prioridad sobre cualquier regla **ALLOW**.
+ Si al menos una regla **ALLOW** coincide y no coincide ninguna regla **DENY**, la política permite la suplantación.
+ Si no se aplica ninguna regla, la suplantación se deniega.
**nota**
Para permitir la suplantación para todos los usuarios de una organización de Amazon WorkMail, cree una regla con el efecto **ALLOW** y sin condiciones.
**aviso**
Debe crear reglas para permitir que un rol de suplantación suplante a un usuario. Si no especifica reglas, un rol de suplantación no puede asumir los derechos de acceso de un usuario.
Una vez creado el rol de suplantación, puede utilizarlo para obtener acceso a los buzones de correo de los usuarios. Para obtener más información, consulte [Uso de roles de suplantación](using-impersonation-roles.md).
## Consideraciones de seguridad
El uso de roles de suplantación crea la posibilidad de que surjan problemas de seguridad dentro de su organización de Amazon WorkMail y su Cuenta de AWS. Estos son algunos de los posibles problemas a tener en cuenta al crear un rol de suplantación:
+ **Permisos transitivos**: si el usuario A tiene acceso al buzón de correo del usuario B y se permite que un rol de suplantación suplante al usuario A, entonces este rol de suplantación puede suplantar los permisos de acceso del usuario A y acceder al buzón del usuario B.
+ **Control de acceso**: puede utilizar reglas de control de acceso para limitar el acceso del rol de suplantación. Para obtener más información, consulte [Uso de reglas de control de acceso](access-rules.md).
+ **Política de IAM**: puede asignar una acción `AssumeImpersonationRole` a una organización de Amazon WorkMail y a un rol de suplantación concretos utilizando la condición `workmail:ImpersonationRoleId`. Para ver un ejemplo de política de IAM, consulte [Cómo WorkMail funciona Amazon con IAM](security_iam_service-with-iam.md).
## Creación de roles de suplantación
Puede crear roles de suplantación desde la consola de Amazon WorkMail.
**Para crear un rol de suplantación**
1. Abra la consola de Amazon WorkMail en [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte [Regiones y puntos de enlace](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) en la *Referencia general de Amazon Web Services*.
1. En el panel de navegación, elija **Organizaciones** y, a continuación, el nombre de la organización.
1. Elija **Roles de suplantación** y, a continuación, **Crear rol**.
1. Aparece el cuadro de diálogo **Crear rol de suplantación**. En **Rol**, introduzca la siguiente información:
+ **Nombre**: introduzca un nombre único para el rol de suplantación.
+ (Opcional) **Descripción**: introduzca una descripción para el rol de suplantación.
+ **Tipo de rol**: elija **Solo lectura** o **Acceso total**.
1. En **Reglas**, elija **Añadir regla**.
1. Aparece el cuadro de diálogo **Añadir regla**. Introduzca la información siguiente:
+ **Nombre**: introduzca un nombre exclusivo para la regla.
+ (Opcional) **Descripción**: introduzca una descripción para la regla.
+ En **Efecto**, elija **Permitir** o **Denegar**. Esto permite o deniega el acceso en función de las condiciones que seleccione en el paso siguiente.
+ (Opcional) En **Esta regla:**, elija **Concuerda solicitudes que suplantan a los usuarios seleccionados** para incluir usuarios específicos. Elija **Concuerda solicitudes que suplantan a usuarios distintos de los usuarios seleccionados** para añadir usuarios distintos de los usuarios seleccionados.
1. Seleccione **Añadir regla**.
**nota**
Las reglas solo se guardan cuando se guarda el rol correspondiente.
1. Elija **Crear rol**.
## Edición de roles de suplantación
Puede editar los roles de suplantación desde la consola de Amazon WorkMail.
**Para editar un rol de suplantación**
1. Abra la consola de Amazon WorkMail en [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte [Regiones y puntos de enlace](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) en la *Referencia general de Amazon Web Services*.
1. En el panel de navegación, elija **Organizaciones** y, a continuación, el nombre de la organización.
1. Elija **Roles de suplantación**.
1. Seleccione el nombre del rol de suplantación que desee editar y, a continuación, elija **Editar**.
1. Aparece el cuadro de diálogo **Editar rol de suplantación**. En **Rol**, introduzca la siguiente información:
+ **Nombre**: introduzca un nombre único para el rol de suplantación.
+ (Opcional) **Descripción**: introduzca una descripción para el rol de suplantación.
+ **Tipo de rol**: para dar al rol de suplantación acceso de solo lectura al buzón de correo de un usuario, elija **Solo lectura**. Para otorgar al rol de suplantación derechos de lectura y modificación de los elementos del buzón de correo de un usuario, elija **Acceso total**.
1. En **Reglas**, seleccione la regla que desee editar y luego **Editar**.
1. Aparece el cuadro de diálogo **Editar regla**. Introduzca la información siguiente:
+ **Nombre**: edite el nombre de la regla.
+ (Opcional) **Descripción**: actualice la descripción de la regla o introduzca una.
+ En **Efecto**, elija **Permitir** a fin de permitir el acceso cuando se cumplan las condiciones establecidas en las reglas. Para denegar el acceso, elija **Denegar**.
+ (Opcional) En **Esta regla:**, elija **Concuerda solicitudes que suplantan a los usuarios seleccionados** para incluir usuarios específicos. Elija **Concuerda solicitudes que suplantan a usuarios distintos de los usuarios seleccionados** para añadir usuarios distintos de los usuarios seleccionados.
1. Seleccione **Save**.
1. Elija **Guardar cambios**.
**importante**
Al modificar una regla de suplantación, los buzones de correo afectados podrían tardar hasta cinco minutos en actualizarse. Durante el proceso de actualización de la regla, es posible que observe un comportamiento incoherente en su buzón de correo. Sin embargo, si prueba un rol, Amazon WorkMail responde como se espera en función de la regla actualizada. Para obtener más información, consulte [Prueba de roles de suplantación](#testing-impersonation-roles).
## Prueba de roles de suplantación
Puede probar un rol de suplantación desde la consola de Amazon WorkMail.
**Para probar un rol de suplantación**
1. Abra la consola de Amazon WorkMail en [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte [Regiones y puntos de enlace](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) en la *Referencia general de Amazon Web Services*.
1. En el panel de navegación, elija **Organizaciones** y, a continuación, el nombre de la organización.
1. Elija **Roles de suplantación**.
1. Seleccione el rol de suplantación que desee probar.
1. Elija **Probar rol**.
1. Aparece el cuadro de diálogo **Probar rol de suplantación**. En **Usuario objetivo**, seleccione el usuario para el que desea probar el acceso de suplantación.
1. Seleccione **Probar**.
## Eliminación de roles de suplantación
Puede eliminar un rol de suplantación desde la consola de Amazon WorkMail.
**Para eliminar un rol de suplantación**
1. Abra la consola de Amazon WorkMail en [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte [Regiones y puntos de enlace](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) en la *Referencia general de Amazon Web Services*.
1. En el panel de navegación, elija **Organizaciones** y, a continuación, el nombre de la organización.
1. Elija **Roles de suplantación**.
1. Seleccione el nombre del rol de suplantación que desee eliminar.
1. Elija **Eliminar**.
1. Aparece el cuadro de diálogo **Eliminar rol**. Para confirmar la eliminación, introduzca el nombre del rol en el cuadro de diálogo y elija **Eliminar**.