Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Identity and Access Management para WorkSpaces aplicaciones de Amazon
<a name="controlling-access"></a>

Sus credenciales de seguridad lo identifican ante los servicios AWS y le permiten un uso ilimitado de sus AWS recursos, como los recursos de sus WorkSpaces aplicaciones. Puede utilizar las funciones de WorkSpaces las aplicaciones y AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen los recursos de sus WorkSpaces aplicaciones sin compartir sus credenciales de seguridad. 

Puede utilizar IAM para controlar la forma en que otros usuarios utilizan los recursos de su cuenta de Amazon Web Services y puede utilizar grupos de seguridad para controlar el acceso a las instancias de streaming de sus WorkSpaces aplicaciones. Puede permitir el uso total o limitado de los recursos de sus WorkSpaces aplicaciones. 

**Topics**
+ [Acceso de red a la instancia de streaming](network-access-to-streaming-instances.md)
+ [Uso de políticas AWS administradas y funciones vinculadas para administrar el acceso de los administradores a WorkSpaces las aplicaciones y los recursos](controlling-administrator-access-with-policies-roles.md)
+ [Uso de políticas de IAM para administrar el acceso de los administradores al Auto Scaling de aplicaciones](autoscaling-iam-policy.md)
+ [Uso de las políticas de IAM para administrar el acceso de administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación](s3-iam-policy.md)
+ [Uso de una función de IAM para conceder permisos a las aplicaciones y scripts que se ejecutan en las instancias de streaming de aplicaciones WorkSpaces](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [SELinux en Red Hat Enterprise Linux y Rocky Linux](selinux.md)
+ [Autenticación basada en cookies en aplicaciones de Amazon WorkSpaces](cookie-auth.md)

# Acceso de red a la instancia de streaming
<a name="network-access-to-streaming-instances"></a>

Un grupo de seguridad funciona como un firewall con estado que controla qué tráfico puede llegar a las instancias de streaming. Al lanzar una instancia de streaming de WorkSpaces aplicaciones, asígnela a uno o más grupos de seguridad. A continuación, agregue reglas a cada grupo de seguridad que controla el tráfico de la instancia. Puede modificar las reglas de un grupo de seguridad en cualquier momento. Las nuevas reglas se aplican automáticamente a todas las instancias a las que está asignado el grupo de seguridad. 

Para obtener más información, consulte [Grupos de seguridad en Amazon WorkSpaces Applications](managing-network-security-groups.md).

# Uso de políticas AWS administradas y funciones vinculadas para administrar el acceso de los administradores a WorkSpaces las aplicaciones y los recursos
<a name="controlling-administrator-access-with-policies-roles"></a>

De forma predeterminada, los usuarios de IAM no tienen los permisos necesarios para crear o modificar los recursos de WorkSpaces las aplicaciones ni para realizar tareas mediante la API de WorkSpaces aplicaciones. Esto significa que estos usuarios no pueden realizar estas acciones en la consola de WorkSpaces aplicaciones ni mediante los comandos AWS CLI de WorkSpaces aplicaciones. Para permitir a los usuarios de IAM crear o modificar recursos y realizar tareas, asocie una política de IAM a los usuarios o grupos de IAM que requieren esos permisos. 

Cuando se asocia una política a un usuario, grupo de usuarios o rol de IAM, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados. 

**Topics**
+ [AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md)
+ [Funciones necesarias para WorkSpaces Applications, Application Auto Scaling y AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Comprobar la función y las políticas del AmazonAppStreamServiceAccess servicio](controlling-access-checking-for-iam-service-access.md)
+ [Comprobación de la existencia del rol de servicio ApplicationAutoScalingForAmazonAppStreamAccess y sus políticas](controlling-access-checking-for-iam-autoscaling.md)
+ [Comprobación de la existencia del rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` y sus políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Comprobación del rol y las políticas del AmazonAppStream PCAAccess servicio](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones
<a name="managed-policies-required-to-access-appstream-resources"></a>

Para proporcionar acceso administrativo completo o de solo lectura a WorkSpaces las aplicaciones, debe adjuntar una de las siguientes políticas AWS administradas a los usuarios o grupos de IAM que requieran esos permisos. Una *política administrada por AWS * es una política independiente creada y administrada por AWS. Para más información, consulte[ Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

**nota**  
En AWS, las funciones de IAM se utilizan para conceder permisos a un AWS servicio para que pueda acceder a los recursos. AWS Las políticas asociadas a la función determinan a qué AWS recursos puede acceder el servicio y qué puede hacer con esos recursos. En el caso de WorkSpaces las aplicaciones, además de tener los permisos definidos en la **AmazonAppStreamFullAccess**política, también debe tener las funciones necesarias en su AWS cuenta. Para obtener más información, consulte [Funciones necesarias para WorkSpaces Applications, Application Auto Scaling y AWS Certificate Manager Private CA](roles-required-for-appstream.md).

**AmazonAppStreamFullAccess**  
Esta política gestionada proporciona acceso administrativo completo a los recursos de WorkSpaces las aplicaciones. Para administrar los recursos de WorkSpaces las aplicaciones y realizar acciones de API a través de la interfaz de línea de AWS comandos (AWS CLI), el AWS SDK o la consola de AWS administración, debe tener los permisos definidos en esta política.  
Si inicia sesión en la consola de WorkSpaces aplicaciones como usuario de IAM, debe adjuntar esta política a la suya Cuenta de AWS. Si inicia sesión a través de la federación de consolas, debe asociar esta política al rol de IAM que se ha utilizado para la federación.  
Para ver los permisos de esta política, consulte [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).

**AmazonAppStreamReadOnlyAccess**  
Esta política basada en la identidad otorga a los usuarios permisos de solo lectura para ver y monitorear los recursos de WorkSpaces las aplicaciones y las configuraciones de los servicios relacionados. Los usuarios pueden acceder a la consola de WorkSpaces aplicaciones para ver las aplicaciones de streaming, el estado de la flota, los informes de uso y los recursos asociados, pero no pueden realizar ningún cambio. La política también incluye los permisos de lectura necesarios para respaldar servicios como IAM y Application Auto Scaling, y CloudWatch para habilitar capacidades integrales de monitoreo e informes.  
Para ver los permisos de esta política, consulte [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).

La consola de WorkSpaces aplicaciones utiliza una acción adicional que proporciona una funcionalidad que no está disponible a través de la AWS CLI o el AWS SDK. **AmazonAppStreamFullAccess**Tanto **AmazonAppStreamReadOnlyAccess**las políticas como las políticas proporcionan permisos para la siguiente acción.


| Action | Description (Descripción) | Nivel de acceso | 
| --- | --- | --- | 
| DescribeImageBuilders | Otorga permiso para recuperar una lista que describe uno o más constructores de imágenes especificados, si se proporcionan los nombres de los constructores. De lo contrario, se describen todos los constructores de imágenes de la cuenta. | Lectura | 

**AmazonAppStreamPCAAccess**  
Esta política administrada proporciona acceso administrativo completo a los recursos de CA Private de AWS Certificate Manager de su AWS cuenta para la autenticación basada en certificados.  
Para ver los permisos de esta política, consulte. [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html)

**AmazonAppStreamServiceAccess**  
Esta política administrada es la política predeterminada para la función de servicio de WorkSpaces aplicaciones.   
Esta política de permisos de roles permite a WorkSpaces las aplicaciones realizar las siguientes acciones:  
+ Al usar subredes en su cuenta para sus flotas de WorkSpaces WorkSpaces aplicaciones, Applications puede describir las subredes y las zonas de disponibilidad VPCs, así como crear y administrar el ciclo de vida de todas las interfaces de red elásticas asociadas a las instancias de la flota en esas subredes. Esto también incluye la posibilidad de asociar grupos de seguridad y direcciones IP desde esas subredes a esas interfaces de red elásticas.
+ Al utilizar funciones como UPP y HomeFolders, WorkSpaces Applications puede crear y gestionar buckets y objetos de Amazon S3 y sus ciclos de vida, políticas y configuración de cifrado en la cuenta. Estos buckets incluyen los siguientes prefijos de nomenclatura:
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
Para ver los permisos de esta política, consulte. [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html)

**ApplicationAutoScalingForAmazonAppStreamAccess**  
Esta política gestionada permite el escalado automático de las WorkSpaces aplicaciones.  
Para ver los permisos de esta política, consulte [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
Esta política administrada otorga permisos para que Application Auto Scaling acceda a WorkSpaces las aplicaciones y CloudWatch .  
Para ver los permisos de esta política, consulte [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).

## WorkSpaces Actualizaciones de las aplicaciones a las políticas AWS gestionadas
<a name="security-iam-awsmanpol-updates"></a>



Consulte los detalles sobre las actualizaciones de las políticas AWS administradas para WorkSpaces las aplicaciones desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial de documentos para WorkSpaces aplicaciones de Amazon](doc-history.md).




| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — Cambiar  |   Se agregó la autorización de permisos `"ec2:DescribeImages"` a la política (documento de política JSON)  | 17 de noviembre de 2025 | 
|  AmazonAppStreamReadOnlyAccess — Cambio  |   Se ha eliminado `"appstream:Get*",` del documento de política de JSON  | 22 de octubre de 2025 | 
|  WorkSpaces Las aplicaciones comenzaron a rastrear los cambios  |  WorkSpaces Las aplicaciones empezaron a rastrear los cambios de sus políticas AWS gestionadas  | 31 de octubre de 2022 | 

# Funciones necesarias para WorkSpaces Applications, Application Auto Scaling y AWS Certificate Manager Private CA
<a name="roles-required-for-appstream"></a>

En AWS, las funciones de IAM se utilizan para conceder permisos a un AWS servicio para que pueda acceder a AWS los recursos. Las políticas asociadas a la función determinan a qué AWS recursos puede acceder el servicio y qué puede hacer con esos recursos. En el caso de WorkSpaces las aplicaciones, además de tener los permisos definidos en la **AmazonAppStreamFullAccess**política, también debe tener las siguientes funciones en su AWS cuenta.

**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

Esta función es una función de servicio que se crea automáticamente al empezar a utilizar WorkSpaces las aplicaciones de una AWS región. Para obtener más información sobre las funciones de servicios, consulte [Crear una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.

Mientras se crean los recursos de WorkSpaces aplicaciones, el servicio de WorkSpaces aplicaciones realiza llamadas a la API a otros AWS servicios en su nombre al asumir esta función. Para crear flotas, debe tener este rol en su cuenta. Si esta función no está en su AWS cuenta y no están adjuntas las políticas de relaciones de confianza y los permisos de IAM necesarios, no podrá crear flotas de WorkSpaces aplicaciones.

Para obtener más información, consulte [Comprobar la función y las políticas del AmazonAppStreamServiceAccess servicio](controlling-access-checking-for-iam-service-access.md) para comprobar si el rol de **AmazonAppStreamServiceAccess**servicio está presente y tiene adjuntas las políticas correctas. 

**nota**  
Este rol de servicio puede tener permisos diferentes a los del primer usuario que comienza a usar las WorkSpaces aplicaciones. Para obtener más información sobre los permisos de este rol, consulte «AmazonAppStreamServiceAccess» en[AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md).

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

Esta función es una función de servicio que se crea automáticamente al empezar a utilizar WorkSpaces las aplicaciones de una AWS región. Para obtener más información sobre las funciones de servicios, consulte [Crear una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.

El escalado automático es una función de WorkSpaces las flotas de aplicaciones. Para configurar las políticas de escalado, debe tener este rol de servicio en su AWS cuenta. Si esta función de servicio no está en su AWS cuenta y no están asociadas las políticas de relaciones de confianza y los permisos de IAM necesarios, no podrá escalar WorkSpaces las flotas de aplicaciones.

Para obtener más información, consulte [Comprobación de la existencia del rol de servicio ApplicationAutoScalingForAmazonAppStreamAccess y sus políticas](controlling-access-checking-for-iam-autoscaling.md).

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

Este rol es un rol vinculado a servicios que se crea automáticamente en su nombre. Para obtener más información, consulte [Roles vinculados a servicios](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) en la *Guía del usuario de Auto Scaling de aplicaciones*.

El Auto Scaling de aplicaciones utiliza un rol vinculado a servicios para realizar el escalado automático en su nombre. Un *rol vinculado a un servicio es un rol* de IAM que está vinculado directamente a un servicio. AWS Esta función incluye todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.

Para obtener más información, consulte [Comprobación de la existencia del rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` y sus políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

Esta función es una función de servicio que se crea automáticamente al empezar a utilizar WorkSpaces las aplicaciones de una AWS región. Para obtener más información sobre las funciones de servicios, consulte [Crear una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.

La autenticación basada en certificados es una función de WorkSpaces las flotas de aplicaciones unidas a los dominios de Microsoft Active Directory. Para habilitar y usar la autenticación basada en certificados, debe tener este rol de servicio en su cuenta. AWS Si esta función de servicio no está en su AWS cuenta y no están adjuntas las políticas de relaciones de confianza y los permisos de IAM necesarios, no podrá habilitar ni utilizar la autenticación basada en certificados.

Para obtener más información, consulte [Comprobación del rol y las políticas del AmazonAppStream PCAAccess servicio](controlling-access-checking-for-AppStreamPCAAccess.md).

# Comprobar la función y las políticas del AmazonAppStreamServiceAccess servicio
<a name="controlling-access-checking-for-iam-service-access"></a>

Complete los pasos de esta sección para comprobar si el rol de servicio **AmazonAppStreamServiceAccess** existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.

**Para comprobar si el rol de servicio de AmazonAppStreamServiceAccess IAM está presente**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En el cuadro de búsqueda, escriba **amazonappstreamservice** para reducir la lista de funciones que desea seleccionar y, a continuación, elija. **AmazonAppStreamServiceAccess** Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol. 

1. En la pestaña **Permisos**, confirme si la política de permisos **AmazonAppStreamServiceAccess** está asociada.

1. Vuelva a la página **Summary (Resumen)** del rol.

1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza **AmazonAppStreamServiceAccess** está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM. 

## AmazonAppStreamServiceAccess política de relaciones de confianza
<a name="controlling-access-service-access-trust-policy"></a>

La política de relaciones de **AmazonAppStreamServiceAccess**confianza debe incluir el servicio de WorkSpaces Aplicaciones como principal. Un *principal* es una entidad AWS que puede realizar acciones y acceder a los recursos. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de políticas define a WorkSpaces las aplicaciones como una entidad de confianza.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Comprobación de la existencia del rol de servicio ApplicationAutoScalingForAmazonAppStreamAccess y sus políticas
<a name="controlling-access-checking-for-iam-autoscaling"></a>

Complete los pasos de esta sección para comprobar si el rol de servicio **ApplicationAutoScalingForAmazonAppStreamAccess** existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.

**Para comprobar si existe el rol de servicio de IAM ApplicationAutoScalingForAmazonAppStreamAccess**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En el cuadro de búsqueda, escriba **applicationautoscaling** para reducir la lista de roles que aparecen y elija **ApplicationAutoScalingForAmazonAppStreamAccess**. Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol. 

1. En la pestaña **Permisos**, confirme si la política de permisos **ApplicationAutoScalingForAmazonAppStreamAccess** está asociada. 

1. Vuelva a la página **Summary (Resumen)** del rol.

1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza **ApplicationAutoScalingForAmazonAppStreamAccess** está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM. 

## Política de relación de confianza ApplicationAutoScalingForAmazonAppStreamAccess
<a name="controlling-access-autoscaling-trust-policy"></a>

La política de relación de confianza **ApplicationAutoScalingForAmazonAppStreamAccess** debe incluir el servicio de Auto Scaling de aplicaciones como entidad principal. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de política define Auto Scaling de aplicaciones como una entidad de confianza.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Comprobación de la existencia del rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` y sus políticas
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

Complete los pasos de esta sección para comprobar si el rol vinculado a servicios `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.

**Para comprobar si existe el rol vinculado a servicios de IAM `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En el cuadro de búsqueda, escriba **applicationautoscaling** para reducir la lista de roles que aparecen y elija `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol. 

1. En la pestaña **Permisos**, confirme si la política de permisos `AWSApplicationAutoscalingAppStreamFleetPolicy` está asociada.

1. Vuelva a la página de resumen del **Role (Rol)**.

1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM. 

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet política de relaciones de confianza
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

La política de relación de confianza `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` debe incluir **appstream.application-autoscaling.amazonaws.com** como entidad principal. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de políticas define **appstream.application-autoscaling.amazonaws.com** como una entidad de confianza.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Comprobación del rol y las políticas del AmazonAppStream PCAAccess servicio
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

Complete los pasos de esta sección para comprobar si el rol de servicio **AmazonAppStreamPCAAccess** existe y tiene asociadas las políticas correctas. Si esta función no está en su cuenta y debe crearse, usted o un administrador con los permisos necesarios deberán realizar los pasos necesarios para empezar a utilizar WorkSpaces las aplicaciones de su cuenta de Amazon Web Services.

**Para comprobar si el rol de servicio de AmazonAppStream PCAAccess IAM está presente**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En el cuadro de búsqueda, escriba **appstreampca** para reducir la lista de funciones que desea seleccionar y, a continuación, elija. **AmazonAppStreamPCAAccess** Si aparece este rol, selecciónelo para ver la página **Summary (Resumen)** del rol. 

1. En la pestaña **Permisos**, confirme si la política de permisos **AmazonAppStreamPCAAccess ** está asociada.

1. Vuelva a la página de resumen del **Role (Rol)**.

1. En la pestaña **Relaciones de confianza**, elija **Mostrar documento de la política** y, a continuación, confirme si la política de relación de confianza **AmazonAppStreamPCAAccess ** está asociada y utiliza el formato correcto. En caso afirmativo, la relación de confianza está configurada correctamente. Elija **Cancelar** y cierre la consola de IAM. 

## AmazonAppStreamPCAAccess política de relaciones de confianza
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

La política de relaciones de **AmazonAppStreamPCAAccess**confianza debe incluir prod.euc.ecm.amazonaws.com como principal. Esta política también debe incluir la acción `sts:AssumeRole`. La siguiente configuración de política define ECM como una entidad de confianza.

**Para crear la política de relación de AmazonAppStream PCAAccess confianza mediante la AWS CLI**

1. Cree un archivo JSON llamado `AmazonAppStreamPCAAccess.json` con el siguiente texto.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Ajuste la `AmazonAppStreamPCAAccess.json` ruta según sea necesario y ejecute los siguientes comandos de AWS CLI para crear la política de relación de confianza y adjuntar la política AmazonAppStream PCAAccess administrada. Para obtener más información sobre la política administrada, consulte [AWS Se requieren políticas administradas para acceder a los recursos de WorkSpaces las aplicaciones](managed-policies-required-to-access-appstream-resources.md).

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# Uso de políticas de IAM para administrar el acceso de los administradores al Auto Scaling de aplicaciones
<a name="autoscaling-iam-policy"></a>

El escalado automático de flotas es posible gracias a una combinación de WorkSpaces Applications CloudWatch, Amazon y Application Auto Scaling APIs. WorkSpaces Las flotas de aplicaciones se crean con WorkSpaces Applications, las alarmas se crean con CloudWatch Application Auto Scaling y las políticas de escalado se crean con Application Auto Scaling.

Además de tener los permisos definidos en la [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)política, el usuario de IAM que accede a la configuración de escalado de flotas debe tener los permisos necesarios para los servicios que admiten el escalado dinámico. Los usuarios de IAM deben contar con los permisos necesarios para utilizar las acciones que se muestran en la siguiente política de ejemplo. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

También puede crear sus propias políticas de IAM para establecer más permisos específicos para las llamadas a la API del Auto Scaling de aplicaciones. Para obtener más información, consulte [Autenticación y control de acceso](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) en la *Guía del usuario de Auto Scaling de aplicaciones*.

# Uso de las políticas de IAM para administrar el acceso de administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación
<a name="s3-iam-policy"></a>

En los siguientes ejemplos, se muestra cómo puede utilizar las políticas de IAM para administrar el acceso al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación.

**Topics**
+ [Eliminación del bucket de Amazon S3 para carpetas de inicio y persistencia de configuración de la aplicación](s3-iam-policy-delete.md)
+ [Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación](s3-iam-policy-restricted-access.md)

# Eliminación del bucket de Amazon S3 para carpetas de inicio y persistencia de configuración de la aplicación
<a name="s3-iam-policy-delete"></a>

WorkSpaces Applications añade una política de bucket de Amazon S3 a los buckets que crea para evitar que se eliminen accidentalmente. Para eliminar un bucket de S3, primero debe eliminar la política del bucket de S3. A continuación, se muestran las políticas de bucket que debe eliminar para las carpetas de inicio y la persistencia de configuración de la aplicación.

**Política de carpetas de inicio**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**Política de persistencia de configuración de la aplicación**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 Para obtener más información, consulte [Eliminar o vaciar un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) en la *Guía del usuario de Amazon Simple Storage Service*.

# Restricción de acceso del administrador al bucket de Amazon S3 para las carpetas de inicio y persistencia de configuración de la aplicación
<a name="s3-iam-policy-restricted-access"></a>

De forma predeterminada, los administradores que pueden acceder a los buckets de Amazon S3 creados por WorkSpaces las aplicaciones pueden ver y modificar el contenido que forma parte de las carpetas de inicio de los usuarios y de la configuración persistente de las aplicaciones. Para restringir el acceso de administrador a los bucket de S3 que contienen los archivos de usuario, recomendamos aplicar la política de acceso del bucket de S3 basada en la siguiente plantilla: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Esta política permite el acceso al bucket de S3 solo a los usuarios especificados y al servicio de WorkSpaces aplicaciones. Para cada usuario de IAM que necesite acceso, repita la siguiente línea:

```
"arn:aws:iam::account:user/IAM-user-name"
```

En el ejemplo siguiente, la política limita el acceso al bucket de S3 de la carpeta de inicio a cualquier otro usuario de IAM que no sea marymajor y johnstiles. También permite el acceso al servicio de WorkSpaces aplicaciones, en la AWS región EE.UU. Oeste (Oregón) con el ID de cuenta 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# Uso de una función de IAM para conceder permisos a las aplicaciones y scripts que se ejecutan en las instancias de streaming de aplicaciones WorkSpaces
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Las aplicaciones y los scripts que se ejecutan en WorkSpaces las instancias de streaming de Applications deben incluir AWS credenciales en sus solicitudes de AWS API. Puede crear un rol de IAM para administrar estas credenciales. Un rol de IAM especifica un conjunto de permisos que puedes usar para acceder a AWS los recursos. Sin embargo, este rol no se asocia de manera exclusiva a una persona. En su lugar, puede asumirlo cualquier usuario que lo necesite.

Puede aplicar un rol de IAM a una instancia de streaming de WorkSpaces aplicaciones. Cuando la instancia de streaming cambia al rol (lo asume), el rol proporciona credenciales de seguridad temporales. La aplicación o los scripts utilizan estas credenciales para realizar acciones de API y tareas de administración en la instancia de streaming. WorkSpaces Applications gestiona el cambio de credenciales temporal por usted.

**Topics**
+ [Mejores prácticas para usar las funciones de IAM con WorkSpaces las instancias de streaming de aplicaciones](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [Configuración de una función de IAM existente para usarla con WorkSpaces aplicaciones e instancias de streaming](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [Cómo crear un rol de IAM para usarlo con WorkSpaces aplicaciones e instancias de streaming](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [Cómo utilizar el rol de IAM con WorkSpaces las instancias de streaming de aplicaciones](how-to-use-iam-role-with-streaming-instances.md)

# Mejores prácticas para usar las funciones de IAM con WorkSpaces las instancias de streaming de aplicaciones
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Cuando utilice funciones de IAM con instancias de streaming de WorkSpaces aplicaciones, le recomendamos que siga estas prácticas:
+ Limite los permisos que concede a las acciones y los recursos de la AWS API.

  Siga los principios de privilegios mínimos al crear y adjuntar políticas de IAM a las funciones de IAM asociadas a las instancias de streaming de WorkSpaces aplicaciones. Cuando utilices una aplicación o un script que requiera acceso a acciones o recursos de la AWS API, determina las acciones y los recursos específicos que se requieren. A continuación, cree políticas que permitan a la aplicación o al script realizar únicamente tales acciones. Para obtener más información, consulte [Concesión de mínimos privilegios](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) en la *Guía del usuario de IAM*.
+ Cree una función de IAM para cada recurso de WorkSpaces aplicaciones.

  La creación de una función de IAM única para cada recurso de WorkSpaces aplicaciones es una práctica que sigue los principios de privilegios mínimos. Esto también le permite modificar los permisos de un recurso sin que ello afecte a otros recursos.
+ Límite dónde se pueden utilizar las credenciales.

  Las políticas de IAM le permiten definir las condiciones en las que el rol de IAM se puede utilizar para acceder a un recurso. Por ejemplo, puede incluir condiciones para especificar un rango de direcciones IP desde el que pueden proceder las solicitudes. Esto impide que las credenciales se utilicen fuera de su entorno. Para obtener más información, consulte [Utilizar condiciones de política para mayor seguridad](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) en la *Guía del usuario de IAM*.

# Configuración de una función de IAM existente para usarla con WorkSpaces aplicaciones e instancias de streaming
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

En este tema, se describe cómo configurar un rol de IAM existente para utilizarlo con constructores de imágenes e instancias de streaming de flota.

**Requisitos previos**

El rol de IAM que desee utilizar con un generador de imágenes de WorkSpaces aplicaciones o una instancia de streaming de flotas debe cumplir los siguientes requisitos previos:
+ La función de IAM debe estar en la misma cuenta de Amazon Web Services que la instancia de streaming de WorkSpaces Applications.
+ El rol de IAM no puede ser un rol de servicio.
+ La política de relaciones de confianza asociada a la función de IAM debe incluir el servicio de WorkSpaces Aplicaciones como principal. Un *principal* es una entidad AWS que puede realizar acciones y acceder a los recursos. La política también debe incluir la acción `sts:AssumeRole`. Esta configuración de política define a WorkSpaces las aplicaciones como una entidad de confianza.

  
+ Si va a aplicar la función de IAM a un generador de imágenes, el creador de imágenes debe ejecutar una versión del agente de WorkSpaces aplicaciones publicada a partir del 3 de septiembre de 2019. Si va a aplicar el rol de IAM a una flota, esta debe utilizar una imagen que utilice una versión del agente publicada en la misma fecha o con posterioridad. Para obtener más información, consulte [WorkSpaces Notas de lanzamiento de Applications Agent](agent-software-versions.md). 

**Para permitir que el director del servicio de WorkSpaces aplicaciones asuma una función de IAM existente**

Para realizar los siguientes pasos, debe iniciar sesión en la cuenta como un usuario de IAM que tenga los permisos necesarios para enumerar y actualizar los roles de IAM. Si no tiene los permisos necesarios, pida al administrador de su cuenta de Amazon Web Services que realice estos pasos en su cuenta o que le conceda los permisos requeridos.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación. 

1. En la lista de roles de su cuenta, elija el nombre del rol que desee modificar.

1. Elija la pestaña **Relaciones de confianza** y, a continuación, **Editar relación de confianza**.

1. En **Policy Document (Documento de política)**, compruebe que la política de relación de confianza incluya la acción `sts:AssumeRole` para la entidad principal del servicio `appstream.amazonaws.com`:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Cuando haya terminado de editar la política de confianza, elija **Update Trust Policy (Actualizar política de confianza)** para guardar los cambios. 

1. La función de IAM que haya seleccionado se mostrará en la consola de WorkSpaces aplicaciones. Este rol concede permisos a las aplicaciones y los scripts para realizar acciones de la API y tareas de administración en las instancias de streaming.

# Cómo crear un rol de IAM para usarlo con WorkSpaces aplicaciones e instancias de streaming
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

En este tema, se describe cómo crear un rol de IAM existente para utilizarlo con constructores de imágenes e instancias de streaming de flota.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.

1. En **Seleccionar el tipo de entidad de confianza**, elija **Servicio de AWS **.

1. En la lista de AWS servicios, elija **WorkSpaces Aplicaciones.**

1. En **Seleccione su caso de uso**, ya está seleccionada la opción **WorkSpaces WorkSpaces Aplicaciones: permite que las instancias de aplicaciones llamen a AWS los servicios en su nombre**. Elija **Siguiente: permisos**.

1. Si es posible, seleccione la política que desea utilizar para la política de permisos o elija **Create policy (Crear política)** para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte el paso 4 del procedimiento [Crear políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) en la *Guía del usuario de IAM*.

   Después de crear la política, cierre esa pestaña y vuelva a la pestaña original. Seleccione la casilla de verificación situada junto a las políticas de permisos que desee que tengan WorkSpaces las aplicaciones.

1. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.

1. Elija **Siguiente: etiquetas**. Opcionalmente, puede asociar etiquetas como pares de clave-valor. Para obtener más información, consulte [Etiquetado de usuarios y roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

1. Elija **Siguiente: Revisar**.

1. En **Nombre de rol**, escriba un nombre de rol único en su cuenta de Amazon Web Services. Como otros AWS recursos pueden hacer referencia al rol, no puede editar el nombre del rol una vez creado.

1. En **Role description (Descripción del rol)**, conserve la descripción del rol predeterminada o escriba una nueva.

1. Revise el rol y, a continuación, elija **Crear rol**.

# Cómo utilizar el rol de IAM con WorkSpaces las instancias de streaming de aplicaciones
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Después de crear un rol de IAM, puede aplicarlo en un constructor de imágenes o una instancia de streaming de flota al lanzar el constructor de imágenes o crear una flota. También puede aplicar un rol de IAM en las flotas existentes. Para obtener información acerca de cómo aplicar un rol de IAM al lanzar un constructor de imágenes, consulte [Lanzar un generador de imágenes para instalar y configurar aplicaciones de streaming](tutorial-image-builder-create.md). Para obtener información acerca de cómo aplicar un rol de IAM al crear una flota, consulte [Cree una flota en Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).

Cuando aplicas una función de IAM a tu instancia de streaming de flota o generador de imágenes, WorkSpaces Applications recupera las credenciales temporales y crea el perfil de credenciales **appstream\$1machine\$1role** en la instancia. Las credenciales temporales son válidas durante 1 hora y las nuevas credenciales se recuperan cada hora. Las credenciales anteriores no vencen, por lo que puede utilizarlas mientras sean válidas. Puede usar el perfil de credenciales para llamar a AWS los servicios mediante programación mediante la interfaz de línea de AWS comandos (AWS CLI), AWS las herramientas o el AWS SDK con el idioma que prefiera. PowerShell

Cuando realice llamadas a la API, especifique **appstream\$1machine\$1role** como el perfil de credenciales. De lo contrario, la operación falla debido a los permisos insuficientes.

WorkSpaces Las aplicaciones asumen la función especificada mientras se aprovisiona la instancia de streaming. Como WorkSpaces Applications usa la interfaz de red elástica que está conectada a la VPC para las llamadas a la AWS API, la aplicación o el script deben esperar a que la interfaz de red elástica esté disponible antes de realizar las llamadas a la AWS API. Si las llamadas a la API se realizan antes de que la interfaz de red elástica esté disponible, las llamadas fallan.

En los siguientes ejemplos, se muestra cómo puede utilizar el perfil de credenciales** appstream\$1machine\$1role** para describir las instancias de streaming (instancias EC2) y crear el cliente de Boto. Boto es el SDK de Amazon Web Services (AWS) para Python. 

**Describa las instancias de streaming (instancias EC2) mediante la CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Describa las instancias de streaming (instancias EC2) mediante herramientas para AWS PowerShell**

Debe usar AWS Tools para la PowerShell versión 3.3.563.1 o posterior, con el Amazon Web Services SDK para .NET versión 3.3.103.22 o posterior. Puede descargar el instalador de AWS Herramientas para Windows, que incluye AWS Herramientas para PowerShell y el SDK de Amazon Web Services para .NET, desde el PowerShell sitio web [AWS Herramientas para](https://aws.amazon.com/powershell/).

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Creación del cliente Boto mediante el AWS SDK para Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# SELinux en Red Hat Enterprise Linux y Rocky Linux
<a name="selinux"></a>

De forma predeterminada, Security Enhanced Linux (SELinux) está `enabled` configurado en `enforcing` modo para WorkSpaces aplicaciones, generadores de imágenes e instancias de streaming con tecnología de Red Hat Enterprise Linux y Rocky Linux. En el `enforcing` modo, se imponen las denegaciones de permisos. SELinux es un conjunto de funciones y utilidades del núcleo que proporcionan una arquitectura de control de acceso (MAC) sólida, flexible y obligatoria a los principales subsistemas del núcleo.

SELinux proporciona un mecanismo mejorado para hacer cumplir la separación de la información en función de los requisitos de confidencialidad e integridad. Esta separación de la información reduce las amenazas de manipulación y elusión de los mecanismos de seguridad de las aplicaciones. También limita los daños que pueden causar las aplicaciones malintencionadas o defectuosas.

SELinux incluye un conjunto de ejemplos de archivos de configuración de políticas de seguridad diseñados para cumplir con los objetivos de seguridad diarios. Para obtener más información sobre SELinux las características y la funcionalidad, consulte [¿Qué es SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?

# Autenticación basada en cookies en aplicaciones de Amazon WorkSpaces
<a name="cookie-auth"></a>

WorkSpaces Las aplicaciones utilizan cookies del navegador para autenticar las sesiones de streaming y permitir a los usuarios volver a conectarse a una sesión activa sin tener que volver a introducir sus credenciales de inicio de sesión cada vez. Los tokens de autenticación se almacenan en las cookies del navegador para cada escenario de autenticación. Si bien las cookies son necesarias para muchos servicios en línea, pueden ser potencialmente vulnerables a los ataques de robo de cookies. Le recomendamos que adopte medidas proactivas para evitar el robo de cookies, como implementar soluciones eficaces de protección del punto de conexión para los dispositivos de sus usuarios. Además, para mitigar las posibles consecuencias en caso de robo de cookies, le recomendamos que considere adoptar las siguientes medidas:
+ **Imponga un límite de sesión única**: para las imágenes de Windows de sus WorkSpaces aplicaciones, cree una clave de registro `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` con el nombre **max-concurrent-clients**establecido en 1 para permitir solo una conexión a la vez. Esto limita el número de sesiones simultáneas a una e impide la duplicación de las sesiones activas. Para obtener más información, consulte [Parámetros de administración de sesión](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management).
+ **Aplicar requisitos de caducidad de sesión y reautenticación**
  + Reduzca el SessionDuration valor para que el token de autenticación caduque una vez que el usuario inicie correctamente la sesión de streaming. La reutilización de las cookies de autenticación después de que caduque la duración de la sesión requiere que los usuarios se vuelvan a autenticar. SessionDuration especifica el tiempo máximo que una sesión de streaming federada de un usuario puede permanecer activa antes de que sea necesaria la reautenticación. El valor predeterminado es 60 minutos. Para obtener más información, consulte [Paso 5: creación de aserciones para la respuesta de autenticación de SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
  + Para maximizar la seguridad, los usuarios deben finalizar las sesiones correctamente con la barra de herramientas (terminar sesión), en lugar de cerrar la ventana de streaming. Al finalizar la sesión a través de la barra de herramientas, se cierra tanto la sesión del usuario como la instancia de streaming. Esto requiere volver a autenticarse para futuros accesos, lo que evita el uso indebido de las cookies. Si un usuario cierra la ventana de streaming sin finalizar la sesión, la sesión y la instancia permanecen activas durante un tiempo de espera de desconexión configurable (en minutos). El tiempo de espera de desconexión debe ser un número entre 1 y 5760, y el valor predeterminado es de 15 minutos. Para evitar el uso indebido de las sesiones inactivas, se recomienda establecer un tiempo de espera de desconexión breve. Para obtener más información, consulte [Cree una flota en Amazon WorkSpaces Applications](set-up-stacks-fleets-create.md).
+ **Limite el acceso a WorkSpaces las aplicaciones de streaming a sus rangos de IP**: le recomendamos que implemente políticas de IAM basadas en IP. Esto garantiza que solo se pueda acceder a WorkSpaces las sesiones de aplicaciones desde clientes cuya dirección IP pertenezca a un rango de IP autorizado. Se denegarán todos los intentos de conexión iniciados por un usuario cuya dirección IP de cliente esté fuera de un rango autorizado, incluso si presenta una cookie de autenticación que, por lo demás, es válida (podría ser robada a un usuario). Para obtener más información, consulte [Limitar el acceso para transmitir aplicaciones de Amazon AppStream 2.0 a sus rangos de IP](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Agregue autenticación adicional**: para lanzar instancias de streaming unidas a un dominio, puede unir las flotas de Windows y los creadores de imágenes de WorkSpaces Applications Always-On Demand a los dominios de Microsoft Active Directory y usar los dominios de Active Directory existentes, ya sean basados en la nube o de forma local. Tras la autenticación basada en SAML inicial, se pedirá a los usuarios que proporcionen sus credenciales de dominio como medida de autenticación adicional en el dominio de la organización. Para obtener más información, consulte [Uso de Active Directory con WorkSpaces aplicaciones](active-directory.md).

 Si tiene alguna duda o necesita ayuda, póngase en contacto con [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).