Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS App Studio
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de conformidad que se aplican a App Studio, consulta [AWS los servicios incluidos en el ámbito de aplicación por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: tu responsabilidad viene determinada por el AWS servicio que utilices. Usted también es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.
Esta documentación te ayudará a entender cómo aplicar el modelo de responsabilidad compartida al usar App Studio. En los temas siguientes, se muestra cómo configurar App Studio para que cumpla con sus objetivos de seguridad y conformidad. También aprenderás a usar otros AWS servicios que pueden ayudarte a supervisar y proteger tus recursos de App Studio.
**Topics**
+ [Consideraciones y mitigaciones de seguridad](security-considerations-and-mitigations.md)
+ [Protección de datos en AWS App Studio](data-protection.md)
+ [AWS App Studio y AWS Identity and Access Management (IAM)](security-iam.md)
+ [Validación de conformidad para App Studio AWS](compliance-validation.md)
+ [Resiliencia en AWS App Studio](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en AWS App Studio](infrastructure-security.md)
+ [Análisis de configuración y vulnerabilidad en App Studio AWS](vulnerability-analysis-and-management.md)
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md)
+ [Transferencia de datos entre regiones en AWS App Studio](cross-region-data-transfer.md)
# Consideraciones y mitigaciones de seguridad
## Consideraciones de seguridad
Cuando se trata de conectores de datos, modelos de datos y aplicaciones publicadas, surgen varios problemas de seguridad relacionados con la exposición de los datos, el control de acceso y las posibles vulnerabilidades. La siguiente lista incluye los principales problemas de seguridad.
### Configuración incorrecta de las funciones de IAM
La configuración incorrecta de las funciones de IAM para los conectores de datos puede provocar accesos no autorizados y fugas de datos. Conceder un acceso demasiado permisivo a la función de IAM de un conector de datos puede permitir que usuarios no autorizados accedan a datos confidenciales y los modifiquen.
### Utilizar funciones de IAM para realizar operaciones de datos
Dado que los usuarios finales de una aplicación de App Studio asumen la función de IAM proporcionada en la configuración del conector para realizar acciones, es posible que esos usuarios finales accedan a datos a los que normalmente no tienen acceso.
### Eliminar los conectores de datos de las aplicaciones publicadas
Cuando se elimina un conector de datos, las credenciales secretas asociadas no se eliminan automáticamente de las aplicaciones publicadas que ya utilizan ese conector. En este escenario, si se ha publicado una aplicación con determinados conectores y uno de esos conectores se elimina de App Studio, la aplicación publicada seguirá funcionando con las credenciales de conector almacenadas anteriormente. Es importante tener en cuenta que la aplicación publicada no se verá afectada y seguirá funcionando a pesar de que se elimine el conector.
### Edición de conectores de datos en aplicaciones publicadas
Cuando se edita un conector de datos, los cambios no se reflejan automáticamente en las aplicaciones publicadas que utilizan ese conector. Si se publicó una aplicación con determinados conectores y uno de ellos se modificó en App Studio, la aplicación publicada seguirá utilizando la configuración y las credenciales del conector almacenadas anteriormente. Para incorporar los cambios actualizados en los conectores, se debe volver a publicar la aplicación. Hasta que se vuelva a publicar la aplicación, seguirá siendo incorrecta y no estará operativa, o no se verá afectada ni estará operativa, pero no reflejará las últimas modificaciones del conector.
## Recomendaciones para mitigar los riesgos de seguridad
En esta sección se enumeran las recomendaciones de mitigación para evitar los riesgos de seguridad que se detallan en la sección anterior sobre consideraciones de seguridad.
1. **Configuración adecuada de las funciones de IAM:** asegúrese de que las funciones de IAM para los conectores de datos estén configuradas correctamente con el principio del privilegio mínimo para evitar el acceso no autorizado y la filtración de datos.
1. **Acceso restringido a las aplicaciones:** comparta sus aplicaciones únicamente con los usuarios que estén autorizados a ver o realizar acciones con los datos de la aplicación.
1. **Publicación de aplicaciones:** asegúrese de que las aplicaciones se vuelvan a publicar cada vez que se actualice o elimine un conector.
# Protección de datos en AWS App Studio
El AWS [modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) de se aplica a protección de datos en AWS App Studio. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabajas con AWS App Studio u otra aplicación Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
## Cifrado de datos
App Studio almacena y transfiere datos de forma segura mediante el cifrado de los datos en reposo y en tránsito.
### Cifrado en reposo
El cifrado en reposo hace referencia a la protección de sus datos del acceso no autorizado mediante el cifrado de datos mientras están almacenados. App Studio proporciona el cifrado en reposo de forma predeterminada mediante AWS KMS claves, y no es necesario realizar ninguna configuración adicional para el cifrado de datos en reposo.
App Studio almacena de forma segura los siguientes datos para tus aplicaciones: código fuente, artefactos de compilación, metadatos e información sobre permisos.
Cuando se utilizan fuentes de datos cifradas con una clave gestionada por el AWS KMS cliente (CMK), los recursos de App Studio se siguen cifrando con una clave AWS gestionada, mientras que los datos de las fuentes de datos cifradas se cifran con la CMK. Para obtener más información sobre el uso de fuentes de datos cifradas en las aplicaciones de App Studio, consulte. [Utilice fuentes de datos cifradas con CMKs](encrypted-data-cmk.md)
App Studio usa Amazon CloudFront para ofrecer tu aplicación a tus usuarios. CloudFront utiliza volúmenes SSDs cifrados para los puntos de presencia de ubicación perimetral (POPs) y volúmenes EBS cifrados para las cachés perimetrales regionales ()RECs. El código de función y la configuración de CloudFront Functions siempre se almacenan en un formato cifrado en la ubicación POPs cifrada SSDs de la periferia y en otras ubicaciones de almacenamiento utilizadas por. CloudFront
## Cifrado en tránsito
El cifrado en tránsito se refiere a proteger sus datos de ser interceptados mientras se mueven entre los extremos de comunicación. App Studio proporciona cifrado para los datos en tránsito de forma predeterminada. Todas las comunicaciones entre los clientes y App Studio, y entre App Studio y sus dependencias posteriores, están protegidas mediante conexiones TLS que se firman mediante el proceso de firma de la versión 4 de Signature. Todos los puntos finales de App Studio utilizan certificados SHA-256 administrados por una autoridad de certificación privada. AWS Certificate Manager
## Administración de claves
App Studio no admite la administración de claves de cifrado.
## Privacidad del tráfico entre redes
Cuando creas una instancia en App Studio, eliges la AWS región en la que se almacenarán los datos y los recursos de esa instancia. Los metadatos y artefactos de creación de aplicaciones nunca salen de esa AWS región.
Sin embargo, tenga en cuenta la siguiente información:
+ Como App Studio usa Amazon CloudFront para servir su aplicación y Lambda @Edge para administrar la autenticación de su aplicación, se accedería a un conjunto limitado de datos de autenticación, datos de autorización y metadatos de la aplicación desde ubicaciones de CloudFront borde, que podrían estar en una región diferente.
+ AWS App Studio transfiere datos entre AWS regiones para habilitar determinadas funciones generativas de IA en el servicio. Para obtener más información sobre las funciones que permiten las transferencias de datos entre regiones, el tipo de datos que se transfieren entre regiones y cómo excluirse de ellas, consulte. [Transferencia de datos entre regiones en AWS App Studio](cross-region-data-transfer.md)
# AWS App Studio y AWS Identity and Access Management (IAM)
En AWS App Studio, para administrar el acceso y los permisos del servicio, se asignan grupos del Centro de identidades de IAM a la función adecuada en App Studio. Los permisos de los miembros del grupo se determinan en función del rol asignado y no mediante la configuración de los usuarios, los roles o los permisos directamente en AWS Identity and Access Management (IAM). Para obtener más información sobre la administración del acceso y los permisos en App Studio, consulte[Administrar el acceso y las funciones en App Studio](managing-access-and-roles.md).
App Studio se integra con IAM al verificar una instancia con fines de facturación y cuando se conecta a una AWS cuenta para crear y usar los recursos de esa AWS cuenta. Para obtener información sobre cómo conectar App Studio a otros AWS servicios para usarlos en tus aplicaciones, consulta. [Conectarse a AWS los servicios](add-connector-services.md)
Al crear una instancia en App Studio, debe conectar una AWS cuenta como cuenta de facturación y administración de la instancia. Para habilitar las funciones clave, App Studio también crea [funciones de servicio de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) para proporcionar al servicio los permisos necesarios para llevar a cabo tareas en tu nombre.
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos de App Studio. La IAM es una Servicio de AWS opción que puedes usar sin coste adicional.
**Topics**
+ [Políticas de App Studio basadas en la identidad](#security_iam_service-with-iam-id-based-policies)
+ [Políticas basadas en recursos de App Studio](#security_iam_service-with-iam-resource-based-policies)
+ [Acciones políticas para App Studio](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos de políticas para App Studio](#security_iam_service-with-iam-id-based-policies-resources)
+ [Claves de condición de la política para App Studio](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [ACLs en App Studio](#security_iam_service-with-iam-acls)
+ [ABAC con App Studio](#security_iam_service-with-iam-tags)
+ [Usar credenciales temporales con App Studio](#security_iam_service-with-iam-roles-tempcreds)
+ [Permisos principales entre servicios para App Studio](#security_iam_service-with-iam-principal-permissions)
+ [Funciones de servicio para App Studio](#security_iam_service-with-iam-roles-service)
+ [Funciones vinculadas a servicios para App Studio](#security_iam_service-with-iam-roles-service-linked)
+ [AWS políticas administradas para App Studio AWS](security-iam-awsmanpol.md)
+ [Funciones vinculadas a servicios para App Studio](appstudio-service-linked-roles.md)
+ [Ejemplos de políticas basadas en la identidad para App Studio AWS](security_iam_id-based-policy-examples.md)
Antes de usar IAM para administrar el acceso a App Studio, obtén información sobre las funciones de IAM disponibles para usar con App Studio.
**Funciones de IAM que puedes usar con App Studio AWS**
| Característica de IAM | Compatibilidad con App Studio |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys) | No |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | No |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | Sí |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo funcionan App Studio y otros AWS servicios con la mayoría de las funciones de IAM, consulta [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas de App Studio basadas en la identidad
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para App Studio
Para ver ejemplos de políticas basadas en la identidad de App Studio, consulte. [Ejemplos de políticas basadas en la identidad para App Studio AWS](security_iam_id-based-policy-examples.md)
## Políticas basadas en recursos de App Studio
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Acciones políticas para App Studio
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de las acciones de App Studio, consulta [las acciones definidas por AWS App Studio](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html#awsappstudio-actions-as-permissions) en la *Referencia de autorización de servicios*.
Las acciones de política en App Studio usan el siguiente prefijo antes de la acción:
```
appstudio
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"appstudio:action1",
"appstudio:action2"
]
```
En la siguiente declaración, se enumeran todas las acciones de App Studio:
## Recursos de políticas para App Studio
**Compatibilidad con los recursos de políticas:** sí
Los permisos de App Studio solo admiten un comodín (`*`) en el `Resource` elemento de una política.
## Claves de condición de la política para App Studio
**Compatibilidad con claves de condición de políticas específicas del servicio:** no
App Studio no admite las claves de condición de las políticas.
## ACLs en App Studio
**Soporta ACLs:** No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con App Studio
**Compatibilidad con ABAC (etiquetas en las políticas):** no
App Studio no admite el control de acceso basado en atributos (ABAC).
## Usar credenciales temporales con App Studio
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando utilizas la federación o cambias de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Permisos principales entre servicios para App Studio
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama y Servicio de AWS, además, los de solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para App Studio
**Compatible con roles de servicio:** sí
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
AWS App Studio usa los [roles de servicio de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) para algunas funciones a fin de conceder permiso a App Studio para que lleve a cabo tareas en tu nombre. La consola crea automáticamente funciones de servicio para las funciones compatibles al configurar App Studio.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir la funcionalidad de App Studio. Edita las funciones de servicio solo cuando App Studio te dé instrucciones para hacerlo.
## Funciones vinculadas a servicios para App Studio
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# AWS políticas administradas para App Studio AWS
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: AppStudioServiceRolePolicy
No puede asociar `AppStudioServiceRolePolicy` a sus entidades IAM. Esta política está asociada a un rol vinculado a un servicio que permite a App Studio realizar acciones en tu nombre. Para obtener más información, consulte [Funciones vinculadas a servicios para App Studio](appstudio-service-linked-roles.md).
Esta política otorga permisos que permiten al rol vinculado al servicio administrar los recursos. AWS
### Detalles de los permisos
Esta política incluye permisos para hacer lo siguiente:
+ `logs`- Cree grupos de CloudWatch registros y flujos de registros. También da permiso para crear eventos de registro en esos grupos y flujos de registros.
+ `secretsmanager`- Crea, lee, actualiza y elimina los secretos gestionados por App Studio.
+ `sso`- Recupera instancias de aplicaciones.
+ `sso-directory`- Recuperar información sobre los usuarios y recuperar la lista de miembros de los grupos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AppStudioResourcePermissionsForCloudWatch",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appstudio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio-*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"IsAppStudioSecret"
]
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/IsAppStudioSecret": "true"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "appstudio"
}
}
},
{
"Sid": "AppStudioResourceWritePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSSO",
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## App Studio actualiza las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS administradas de App Studio desde que este servicio comenzó a rastrear estos cambios.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AppStudioServiceRolePolicy](#security-iam-awsmanpol-appstudioservicerolepolicy): actualización de una política actual | App Studio agregó nuevos permisos para permitir la administración de los secretos gestionados por App Studio AWS Secrets Manager. | 14 de marzo de 2025 |
| App Studio comenzó a realizar un seguimiento de los cambios | App Studio comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 28 de junio de 2024 |
# Funciones vinculadas a servicios para App Studio
App Studio usa roles vinculados a [AWS Identity and Access Management servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a App Studio. App Studio predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio facilita la configuración de App Studio, ya que no es necesario añadir manualmente los permisos necesarios. App Studio define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo App Studio puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus recursos de App Studio, ya que no puedes eliminar el permiso de acceso a los recursos de forma inadvertida.
**Topics**
+ [Permisos de rol vinculados al servicio para App Studio](#slr-permissions)
+ [Crear un rol vinculado a un servicio para App Studio](#create-slr)
+ [Edición de un rol vinculado a un servicio para App Studio](#edit-slr)
+ [Eliminar un rol vinculado a un servicio para App Studio](#delete-slr)
## Permisos de rol vinculados al servicio para App Studio
App Studio usa el rol vinculado al servicio denominado. `AWSServiceRoleForAppStudio` Se trata de una función vinculada a un servicio necesaria para que App Studio gestione los AWS servicios de forma persistente, a fin de mantener la experiencia de creación de aplicaciones.
El rol `AWSServiceRoleForAppStudio` vinculado al servicio usa la siguiente política de confianza, que solo confía en el servicio: `appstudio-service.amazonaws.com`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstudio-service.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
En cuanto a los permisos, el rol `AWSServiceRoleForAppStudio` vinculado al servicio proporciona permisos a los siguientes servicios:
+ Amazon CloudWatch: para enviar registros y métricas sobre el uso de App Studio.
+ AWS Secrets Manager: Para administrar las credenciales de los conectores de App Studio, que se utilizan para conectar aplicaciones a otros servicios.
+ Centro de identidad de IAM: acceso de solo lectura para gestionar el acceso de los usuarios.
En concreto, los permisos que se conceden `AWSServiceRoleForAppStudio` se definen en la política gestionada adjunta`AppStudioServiceRolePolicy`. Para obtener más información sobre la política administrada, incluidos los permisos que incluye, consulte[AWS política gestionada: AppStudioServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-appstudioservicerolepolicy).
## Crear un rol vinculado a un servicio para App Studio
No necesita crear manualmente un rol vinculado a servicios. Al crear una instancia de App Studio, App Studio crea automáticamente el rol vinculado al servicio.
Si eliminas este rol vinculado a un servicio, se recomienda crear una instancia de App Studio para que se cree otra automáticamente.
Si bien no es necesario, también puedes usar la consola de IAM o crear roles vinculados a un servicio creando un rol vinculado AWS CLI a un servicio con el nombre del servicio, tal y como se muestra en el `appstudio-service.amazonaws.com` fragmento de política de confianza mostrado anteriormente. Para obtener más información, consulte [Creating a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) en la *Guía del usuario de IAM*.
## Edición de un rol vinculado a un servicio para App Studio
App Studio no te permite editar el rol vinculado al `AWSServiceRoleForAppStudio` servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para App Studio
No es necesario que elimines el `AWSServiceRoleForAppStudio` rol. Al eliminar la instancia de App Studio, App Studio limpia los recursos y elimina automáticamente el rol vinculado al servicio.
Si bien no se recomienda, puedes usar la consola de IAM o la para eliminar el rol vinculado AWS CLI al servicio. Para ello, primero debe limpiar los recursos de su función vinculada al servicio y, a continuación, eliminarla.
**nota**
Si App Studio usa el rol cuando intentas eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
1. Elimina las aplicaciones y los conectores de tu instancia de App Studio.
1. Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios `AWSServiceRoleForAppStudio`. Para obtener más información, consulte [Eliminación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
# Ejemplos de políticas basadas en la identidad para App Studio AWS
De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar los recursos de App Studio. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por App Studio, incluido el formato de cada uno de los tipos de recursos, consulta [las acciones, los recursos y las claves de condición de AWS App Studio](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html) en la *Referencia de autorización de servicios*. ARNs
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de App Studio](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Ejemplo 1: Permitir a los usuarios configurar una instancia de App Studio](#security_iam_id-based-policy-examples-set-up-appstudio-instance)
+ [Ejemplo 2: Impedir a los usuarios configurar una instancia de App Studio](#security_iam_id-based-policy-examples-deny-set-up-appstudio-instance)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar los recursos de App Studio de tu cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de App Studio
Para acceder a la consola de AWS App Studio, debes tener un conjunto mínimo de permisos. Estos permisos deben permitirte enumerar y ver detalles sobre los recursos de App Studio que tienes Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir usando la consola de App Studio, adjunta también la política de App Studio `ConsoleAccess` o `ReadOnly` AWS administrada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Ejemplo 1: Permitir a los usuarios configurar una instancia de App Studio
En el siguiente ejemplo, se muestra una política basada en la identidad que permite a un rol configurar una instancia de App Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"appstudio:GetAccountStatus",
"appstudio:GetEnablementJobStatus",
"appstudio:StartEnablementJob",
"appstudio:StartRollbackEnablementJob",
"appstudio:StartTeamDeployment"
],
"Resource": "*"
}]
}
```
------
## Ejemplo 2: Impedir a los usuarios configurar una instancia de App Studio
En el siguiente ejemplo, se muestra una política basada en la identidad para impedir que un rol configure una instancia de App Studio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": [
"appstudio:*"
],
"Resource": "*"
}]
}
```
------
# Validación de conformidad para App Studio AWS
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia en AWS App Studio
La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
[Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Además de la infraestructura AWS global, AWS App Studio ofrece varias funciones para ayudarte a satisfacer tus necesidades de respaldo y resiliencia de datos.
# Seguridad de la infraestructura en AWS App Studio
Como servicio gestionado, AWS App Studio está protegido por los procedimientos de seguridad de red AWS global que se describen en el documento técnico [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Utiliza las llamadas a la API AWS publicadas para acceder a App Studio a través de la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.2 como mínimo, pero se recomienda usar TLS 1.3. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
# Análisis de configuración y vulnerabilidad en App Studio AWS
La configuración y los controles de TI son una responsabilidad compartida entre usted AWS y usted, nuestro cliente. Para obtener más información, consulte el [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.
Se recomienda utilizar las claves de contexto de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)y las claves de contexto en las políticas de recursos para limitar los permisos que se otorgan a otro servicio al recurso. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios. Utiliza `aws:SourceAccount` si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.
La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si está especificando varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con caracteres comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:servicename:*:123456789012:*`.
Si el valor de `aws:SourceArn` no contiene el ID de cuenta, como un ARN de bucket de Amazon S3, debe utilizar ambas claves de contexto de condición global para limitar los permisos.
El valor `aws:SourceArn` debe ser ResourceDescription.
El siguiente ejemplo muestra cómo se pueden utilizar las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` para prevenir el error de la sustitución confusa.
# Transferencia de datos entre regiones en AWS App Studio
AWS App Studio transfiere datos entre AWS regiones para habilitar determinadas funciones generativas de IA en el servicio. Este tema contiene información sobre las funciones que permiten las transferencias de datos entre regiones, el tipo de datos que se transfieren entre regiones y cómo excluirse.
Las siguientes funciones están habilitadas para la transferencia de datos entre regiones y no estarán disponibles en su instancia si opta por no participar:
1. Crear una aplicación con IA, que se utiliza para iniciar la creación de aplicaciones al describir la aplicación con un lenguaje natural y crear recursos para usted.
1. El chat de IA del estudio de aplicaciones, que se utiliza para hacer preguntas sobre la creación, publicación y uso compartido de aplicaciones.
Los siguientes datos se transfieren entre regiones:
1. Las indicaciones o las entradas del usuario desde las funciones descritas anteriormente.
Para excluirse de la transferencia de datos entre regiones y de las funciones que esta permite, utilice el siguiente procedimiento para rellenar el formulario de solicitud de exclusión desde la consola:
1. Abre la consola de App Studio en [https://console.aws.amazon.com/appstudio/](https://console.aws.amazon.com/appstudio/).
1. Selecciona **Inhabilitar la transferencia de datos**.
1. Introduce tu ID de AWS cuenta y proporciona tu dirección de correo electrónico.
1. Seleccione **Enviar**.
1. Una vez enviada, se procesará tu solicitud de exclusión de la transferencia de datos entre regiones, lo que puede tardar hasta 60 días.