Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Config
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre AWS usted y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de cumplimiento aplicables AWS Config, consulte los [AWS servicios de Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) y .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS Config. Los siguientes temas muestran cómo configurarlo AWS Config para cumplir sus objetivos de seguridad y conformidad.
**Topics**
+ [Protección de datos en AWS Config](data-protection.md)
+ [Identity and Access Management para AWS Config](security-iam.md)
+ [Respuesta a incidentes en AWS Config](incident-response.md)
+ [Validación de la conformidad para AWS Config](config-compliance.md)
+ [Resiliencia en AWS Config](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en AWS Config](infrastructure-security.md)
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md)
+ [Mejores prácticas de seguridad para AWS Config](security-best-practices.md)
# Protección de datos en AWS Config
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con o Servicios de AWS utiliza la consola, la API o AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
## Cifrado de datos en reposo
Los datos se cifran en reposo mediante cifrado transparente del lado del servidor. Esto ayuda a reducir la carga y la complejidad operativas que conlleva la protección de información confidencial. Con el cifrado en reposo, puede crear aplicaciones sensibles a la seguridad que cumplen los requisitos de cifrado y normativos.
## Cifrado de datos en tránsito
Los datos recopilados y a los que se accede AWS Config se realizan exclusivamente a través de un canal protegido por Transport Layer Security (TLS).
# Identity and Access Management para AWS Config
AWS Identity and Access Management (IAM) es un sistema Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AWS Config La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [¿Cómo AWS Config funciona con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas](security-iam-awsmanpol.md)
+ [Permisos para el rol de IAM](iamrole-permissions.md)
+ [Actualización del rol de IAM](update-iam-role.md)
+ [Permisos para el bucket de Amazon S3](s3-bucket-policy.md)
+ [Permisos para la clave de KMS](s3-kms-key-policy.md)
+ [Permisos para el tema de Amazon SNS](sns-topic-policy.md)
+ [Resolución de problemas](security_iam_troubleshoot.md)
+ [Uso de roles vinculados a servicios](using-service-linked-roles.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de AWS Config identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [¿Cómo AWS Config funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para AWS Config](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# ¿Cómo AWS Config funciona con IAM
Antes de utilizar IAM para gestionar el acceso AWS Config, infórmese sobre las funciones de IAM disponibles para su uso. AWS Config
**Funciones de IAM que puede utilizar con AWS Config**
| Característica de IAM | AWS Config soporte |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | Sí |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo AWS Config funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas basadas en la identidad para AWS Config
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para AWS Config
Para ver ejemplos de políticas AWS Config basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Config](security_iam_id-based-policy-examples.md)
## Políticas basadas en recursos incluidas AWS Config
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Acciones políticas para AWS Config
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de AWS Config acciones, consulte [las acciones definidas AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions) en la *Referencia de autorización del servicio*.
Las acciones políticas AWS Config utilizan el siguiente prefijo antes de la acción:
```
config
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"config:action1",
"config:action2"
]
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "config:Describe*"
```
Para ver ejemplos de políticas AWS Config basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Config](security_iam_id-based-policy-examples.md)
## Recursos de políticas para AWS Config
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de AWS Config recursos y sus tipos ARNs, consulte [los recursos definidos AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-resources-for-iam-policies) en la *Referencia de autorización de servicios*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Para ver ejemplos de políticas AWS Config basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Config](security_iam_id-based-policy-examples.md)
## Claves de condición de la política para AWS Config
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de claves de AWS Config condición, consulte las [claves de condición AWS Config en la](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-policy-keys) *Referencia de autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html#your_service-actions-as-permissions).
Para ver ejemplos de políticas AWS Config basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Config](security_iam_id-based-policy-examples.md)
## ACLs in AWS Config
**Soporta ACLs**: No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con AWS Config
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre el etiquetado de AWS Config recursos, consulte. [Etiquetado de los recursos de AWS Config](tagging.md)
## Uso de credenciales temporales con AWS Config
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Sesiones de acceso directo para AWS Config
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama Servicio de AWS, junto con la solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para AWS Config
**Compatible con roles de servicio:** sí
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir la funcionalidad de AWS Config . Edite las funciones de servicio solo cuando se AWS Config proporcionen instrucciones para hacerlo.
## Funciones vinculadas al servicio para AWS Config
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre la creación o la administración de funciones AWS Config vinculadas al servicio, consulte. [Uso de funciones vinculadas a servicios para AWS Config](using-service-linked-roles.md)
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Ejemplos de políticas basadas en la identidad para AWS Config
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS Config . Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos ARNs por AWS Config cada uno de los tipos de recursos, consulte [las claves de condición, recursos y acciones de AWS Config](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsconfig.html) la *Referencia de autorización de servicios*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Inscríbase en una Cuenta de AWS](#sign-up-for-aws)
+ [Creación de un usuario con acceso administrativo](#create-an-admin)
+ [Uso de la consola](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Acceso de solo lectura a AWS Config](#read-only-config-permission)
+ [Acceso completo a AWS Config](#full-config-permission)
+ [Control del acceso a las reglas AWS Config](#supported-resource-level-permissions)
+ [Control del acceso a los datos agregados](#resource-level-permission)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Config recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Inscríbase en una Cuenta de AWS
Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.
**Para suscribirte a una Cuenta de AWS**
1. Abrir [https://portal.aws.amazon.com/billing/registro](https://portal.aws.amazon.com/billing/signup).
1. Siga las instrucciones que se le indiquen.
Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.
Cuando te registras en un Cuenta de AWS, *Usuario raíz de la cuenta de AWS*se crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar [Tareas que requieren acceso de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puedes ver la actividad de tu cuenta actual y administrarla accediendo a [https://aws.amazon.com/](https://aws.amazon.com/)y seleccionando **Mi cuenta**.
## Creación de un usuario con acceso administrativo
Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.
**Proteja su Usuario raíz de la cuenta de AWS**
1. Inicie sesión [Consola de administración de AWS](https://console.aws.amazon.com/)como propietario de la cuenta seleccionando el **usuario root** e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.
Para obtener ayuda para iniciar sesión con el usuario raíz, consulte [Iniciar sesión como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) en la *Guía del usuario de AWS Sign-In *.
1. Active la autenticación multifactor (MFA) para el usuario raíz.
Para obtener instrucciones, consulte [Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) en la Guía del usuario de *IAM*.
**Creación de un usuario con acceso administrativo**
1. Activar IAM Identity Center.
Consulte las instrucciones en [Activar AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) en la *Guía del usuario de AWS IAM Identity Center *.
1. En IAM Identity Center, conceda acceso administrativo a un usuario.
Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte [Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) Guía del *AWS IAM Identity Center usuario*.
**Inicio de sesión como usuario con acceso de administrador**
+ Para iniciar sesión con el usuario de IAM Identity Center, use la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.
Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte [Iniciar sesión en el portal de AWS acceso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) en la *Guía del AWS Sign-In usuario*.
**Concesión de acceso a usuarios adicionales**
1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.
Para conocer las instrucciones, consulte [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) en la *Guía del usuario de AWS IAM Identity Center *.
1. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.
Para conocer las instrucciones, consulte [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) en la *Guía del usuario de AWS IAM Identity Center *.
## Uso de la consola AWS Config
Para acceder a la AWS Config consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Config recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la AWS Config consola, adjunte también la política AWS Config `AWSConfigUserAccess` AWS administrada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
Debe conceder a los usuarios permisos para interactuar con ellas AWS Config. Para los usuarios que necesitan acceso total a ella AWS Config, utilice la política de [acceso total a](https://docs.aws.amazon.com/config/latest/developerguide/security_iam_id-based-policy-examples.html#full-config-permission) la AWS Config gestión.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Acceso de solo lectura a AWS Config
El siguiente ejemplo muestra una política AWS administrada `AWSConfigUserAccess` que concede acceso de solo lectura a. AWS Config
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*",
"tag:GetResources",
"tag:GetTagKeys",
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}
```
------
En las declaraciones de políticas, el elemento `Effect` especifica si las acciones se permiten o se niegan. El elemento `Action` enumera las acciones específicas que puede realizar el usuario. El `Resource` elemento enumera los AWS recursos en los que el usuario puede realizar esas acciones. En el caso de las políticas que controlan el acceso a AWS Config las acciones, el `Resource` elemento siempre está configurado como`*`, un comodín, que significa «todos los recursos».
Los valores del `Action` elemento corresponden a los APIs que admiten los servicios. Las acciones van precedidas de `config:` para indicar que se refieren a AWS Config acciones. Puede utilizar el carácter comodín `*` en el elemento `Action`, como en los siguientes ejemplos:
+ `"Action": ["config:*ConfigurationRecorder"]`
Esto permite todas AWS Config las acciones que terminan en "ConfigurationRecorder" (`StartConfigurationRecorder`,`StopConfigurationRecorder`).
+ `"Action": ["config:*"]`
Esto permite todas AWS Config las acciones, pero no las acciones de otros AWS servicios.
+ `"Action": ["*"]`
Esto permite todas AWS las acciones. Este permiso es adecuado para un usuario que actúa como AWS administrador de su cuenta.
La política de solo lectura no concede permiso al usuario para acciones como `StartConfigurationRecorder`, `StopConfigurationRecorder` y `DeleteConfigurationRecorder`. Los usuarios con esta política no pueden comenzar un registro de configuración, detener un registro de configuración o eliminar un registro de configuración. Para ver la lista de AWS Config acciones, consulta la [referencia de la AWS Config API](https://docs.aws.amazon.com/config/latest/APIReference/).
## Acceso completo a AWS Config
El siguiente ejemplo muestra una política que concede acceso total a AWS Config. Concede a los usuarios el permiso para realizar todas AWS Config las acciones. También permite a los usuarios administrar archivos en buckets de Amazon S3 y administrar los temas de Amazon SNS en la cuenta a la que está asociado el usuario.
**importante**
Esta política otorga amplios permisos. Antes de otorgar acceso total, es recomendable empezar con un conjunto mínimo de permisos y otorgar permisos adicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que son demasiado tolerantes y querer restringirlos más adelante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:AddPermission",
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:GetTopicAttributes",
"sns:ListPlatformApplications",
"sns:ListTopics",
"sns:SetTopicAttributes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketNotification",
"s3:GetBucketPolicy",
"s3:GetBucketRequestPayment",
"s3:GetBucketVersioning",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListBucketVersions",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:CreateServiceLinkedRole"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com",
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudtrail:DescribeTrails",
"cloudtrail:GetTrailStatus",
"cloudtrail:LookupEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:*",
"tag:Get*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListDocuments",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Permisos a nivel de recursos compatibles para las acciones de la API de AWS Config reglas
Los permisos a nivel de recursos se refieren a la capacidad de especificar en qué recursos los usuarios pueden realizar acciones. AWS Config admite permisos a nivel de recurso para determinadas acciones de la API de reglas AWS Config . Esto significa que, para determinadas acciones de AWS Config reglas, puedes controlar las condiciones en las que los usuarios pueden usar esas acciones. Estas condiciones pueden ser acciones que se deben cumplir o recursos específicos que los usuarios pueden utilizar.
En la siguiente tabla se describen las acciones de la API de AWS Config reglas que actualmente admiten permisos a nivel de recurso. También se describen los recursos admitidos y los ARNs correspondientes a cada acción. Al especificar un ARN, puede usar el comodín \$1 en sus rutas; por ejemplo, cuando no puede o no quiere especificar el recurso exacto. IDs
**importante**
Si una acción de la API de una AWS Config regla no aparece en esta tabla, significa que no admite permisos a nivel de recurso. Si una acción de AWS Config regla no admite permisos a nivel de recursos, puedes conceder permisos a los usuarios para que usen la acción, pero tendrás que especificar un asterisco (\$1) para el elemento de recurso de tu declaración de política.
****
| Acción API | Recursos |
| --- | --- |
| DeleteConfigRule | Regla de configuración arn:aws:config ::config-rule/config-rule- *region:accountID* *ID* |
| DeleteEvaluationResults | Regla de configuración arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| DescribeComplianceByConfigRule | Regla de configuración arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| DescribeConfigRuleEvaluationStatus | Regla de configuración arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| GetComplianceDetailsByConfigRule | Regla de configuración arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| PutConfigRule | Regla de configuración arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| StartConfigRulesEvaluation | Regla de configuración arn:aws:config ::config-rule/config-rule *region:accountID* - *ID* |
| PutRemediationConfigurations | Configuración de la corrección arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationConfigurations | Configuración de la corrección arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationConfiguration | Configuración de la corrección arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| PutRemediationExceptions | Configuración de la corrección arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DescribeRemediationExceptions | Configuración de la corrección arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
| DeleteRemediationExceptions | Configuración de la corrección arn:aws:config ::remediation-configuration/ *region:accountId* *config rule name/remediation configuration id* |
Por ejemplo, desea permitir a usuarios específicos el acceso de lectura y denegar el acceso de escritura a reglas específicas.
En la primera política, se permite que la regla lea acciones como, por ejemplo, en las reglas especificadas AWS Config . `DescribeConfigRuleEvaluationStatus`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"config:StartConfigRulesEvaluation",
"config:DescribeComplianceByConfigRule",
"config:DescribeConfigRuleEvaluationStatus",
"config:GetComplianceDetailsByConfigRule"
],
"Resource": [
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID",
"arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
]
}
]
}
```
------
En la segunda política, deniegas a la AWS Config regla la escritura de acciones en la regla específica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": [
"config:PutConfigRule",
"config:DeleteConfigRule",
"config:DeleteEvaluationResults"
],
"Resource": "arn:aws:config:us-east-1:123456789012:config-rule/config-rule-ID"
}
]
}
```
------
Con los permisos a nivel de recursos, puedes permitir el acceso de lectura y denegar el acceso de escritura para realizar acciones específicas en las acciones de la API de AWS Config reglas.
## Permisos de nivel de recursos para la agregación de datos de varias regiones y varias cuentas
Puede utilizar los permisos de nivel de recursos para controlar la capacidad de un usuario de realizar acciones específicas en la acumulación de datos de varias cuentas y regiones. Los siguientes permisos de nivel de recurso AWS Config `Aggregator` APIs admiten:
+ [BatchGetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_BatchGetAggregateResourceConfig.html)
+ [DeleteConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_DeleteConfigurationAggregator.html)
+ [DescribeAggregateComplianceByConfigRules](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConfigRules.html)
+ [DescribeAggregateComplianceByConformancePacks](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeAggregateComplianceByConformancePacks.html)
+ [DescribeConfigurationAggregatorSourcesStatus](https://docs.aws.amazon.com/config/latest/APIReference/API_DescribeConfigurationAggregatorSourcesStatus.html)
+ [GetAggregateComplianceDetailsByConfigRule](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateComplianceDetailsByConfigRule.html)
+ [GetAggregateConfigRuleComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConfigRuleComplianceSummary.html)
+ [GetAggregateConformancePackComplianceSummary](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateConformancePackComplianceSummary.html)
+ [GetAggregateDiscoveredResourceCounts](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateDiscoveredResourceCounts.html)
+ [GetAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_GetAggregateResourceConfig.html)
+ [ListAggregateDiscoveredResources](https://docs.aws.amazon.com/config/latest/APIReference/API_ListAggregateDiscoveredResources.html)
+ [PutConfigurationAggregator](https://docs.aws.amazon.com/config/latest/APIReference/API_PutConfigurationAggregator.html)
+ [SelectAggregateResourceConfig](https://docs.aws.amazon.com/config/latest/APIReference/API_SelectAggregateResourceConfig.html)
Por ejemplo, puede restringir el acceso de usuarios específicos a los datos de los recursos mediante la creación de los dos agregadores `AccessibleAggregator` y `InAccessibleAggregator` y asociar una política de IAM que permita el acceso a `AccessibleAggregator` pero deniegue el acceso a `InAccessibleAggregator`.
**Política de IAM para AccessibleAggregator**
En esta política, permite el acceso a las acciones del agregador compatibles con el nombre de recurso de Amazon (ARN) de AWS Config que especifique. En este ejemplo, el AWS Config ARN es. `arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigAllow",
"Effect": "Allow",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-mocpsqhs"
}
]
}
```
------
**Política de IAM para InAccessibleAggregator**
En esta política, deniega el acceso a las acciones del agregador compatibles con el ARN de AWS Config que especifique. En este ejemplo, el AWS Config ARN es. `arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
Si un usuario del grupo de desarrolladores intenta realizar alguna de estas acciones en el ARN de AWS Config que especificó, ese usuario recibirá una excepción de acceso denegado.
**Comprobar los permisos de acceso de los usuarios**
Para mostrar los agregadores que ha creado, ejecute el siguiente comando de la AWS CLI :
```
aws configservice describe-configuration-aggregators
```
Cuando el comando se haya completado correctamente, podrá ver los detalles de todos los agregadores asociados a su cuenta. En este ejemplo, se trata de `AccessibleAggregator` y `InAccessibleAggregator`:
```
{
"ConfigurationAggregators": [
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-mocpsqhs",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "AccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
},
{
"ConfigurationAggregatorArn": "arn:aws:config:ap-northeast-1:AccountID:config-aggregator/config-aggregator-pokxzldx",
"CreationTime": 1517942461.442,
"ConfigurationAggregatorName": "InAccessibleAggregator",
"AccountAggregationSources": [
{
"AllAwsRegions": true,
"AccountIds": [
"AccountID1",
"AccountID2",
"AccountID3"
]
}
],
"LastUpdatedTime": 1517942461.455
}
]
}
```
**nota**
Para `account-aggregation-sources` introducir una lista separada por comas de las AWS cuentas IDs para las que desee agregar datos. Coloque la cuenta IDs entre corchetes y asegúrese de evitar las comillas (por ejemplo,`"[{\"AccountIds\": [\"AccountID1\",\"AccountID2\",\"AccountID3\"],\"AllAwsRegions\": true}]"`).
Asocie la siguiente política de IAM para denegar el acceso a `InAccessibleAggregator` o el agregador al que desea denegar el acceso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfigDeny",
"Effect": "Deny",
"Action": [
"config:BatchGetAggregateResourceConfig",
"config:DeleteConfigurationAggregator",
"config:DescribeAggregateComplianceByConfigRules",
"config:DescribeAggregateComplianceByConformancePacks",
"config:DescribeConfigurationAggregatorSourcesStatus",
"config:GetAggregateComplianceDetailsByConfigRule",
"config:GetAggregateConfigRuleComplianceSummary",
"config:GetAggregateConformancePackComplianceSummary",
"config:GetAggregateDiscoveredResourceCounts",
"config:GetAggregateResourceConfig",
"config:ListAggregateDiscoveredResources",
"config:PutConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": "arn:aws:config:ap-northeast-1:111122223333:config-aggregator/config-aggregator-pokxzldx"
}
]
}
```
------
A continuación, puede confirmar que la política de IAM funciona para restringir el acceso a las reglas al agregador específico.
```
aws configservice get-aggregate-compliance-details-by-config-rule --configuration-aggregator-name InAccessibleAggregator --config-rule-name rule name --account-id AccountID --aws-region AwsRegion
```
El comando debería devolver una excepción de acceso denegado:
```
An error occurred (AccessDeniedException) when calling the GetAggregateComplianceDetailsByConfigRule operation: User: arn:aws:iam::AccountID:user/ is not
authorized to perform: config:GetAggregateComplianceDetailsByConfigRule on resource: arn:aws:config:AwsRegion-1:AccountID:config-aggregator/config-aggregator-pokxzldx
```
# AWS políticas gestionadas para AWS Config
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSConfigServiceRolePolicy
AWS Config utiliza el rol vinculado al servicio denominado **AWSServiceRoleForConfig**para llamar a otros AWS servicios en su nombre. Al utilizar el Consola de administración de AWS para configurarlo AWS Config, esta SLR se crea automáticamente AWS Config si selecciona la opción de utilizar la AWS Config SLR en lugar de su propia función de servicio AWS Identity and Access Management (IAM).
El SLR **AWSServiceRoleForConfig** contiene la política administrada `AWSConfigServiceRolePolicy`. Esta política gestionada contiene permisos de solo lectura y solo escritura para los recursos y permisos de solo lectura para AWS Config los recursos de otros servicios compatibles. AWS Config La política proporciona un acceso integral para monitorear y registrar los cambios de configuración en toda la AWS infraestructura, incluidos los permisos para más de 100 AWS servicios, como los servicios de computación, almacenamiento, redes, seguridad, análisis y aprendizaje automático.
La política incluye permisos para las siguientes categorías de servicios:
+ `access-analyzer`— Permite a los directores analizar los patrones de acceso y recuperar los hallazgos de seguridad.
+ `account`— Permite a los directores recuperar la información de contacto de la cuenta.
+ `acm`y `acm-pca` — Permite a los directores gestionar los SSL/TLS certificados y las autoridades de certificación privadas.
+ `airflow`— Permite a los directores monitorear los entornos gestionados de Apache Airflow.
+ `amplify`y `amplifyuibuilder` — Permite a los directores monitorear las aplicaciones web y los componentes de la interfaz de usuario.
+ `aoss`— Permite a los directores monitorear las colecciones OpenSearch sin servidor y las configuraciones de seguridad.
+ `app-integrations`— Permite a los directores monitorear las configuraciones de integración de las aplicaciones.
+ `appconfig`— Permite a los directores monitorear las implementaciones de configuración de las aplicaciones.
+ `appflow`— Permite a los directores monitorear las configuraciones del flujo de datos entre aplicaciones.
+ `application-autoscaling`y`application-signals`: permite a los directores monitorear las políticas de autoscalamiento y las métricas de rendimiento de las aplicaciones.
+ `appmesh`— Permite a los directores monitorear las configuraciones de la malla de servicios.
+ `apprunner`— Permite a los directores monitorear las aplicaciones y servicios web en contenedores.
+ `appstream`— Permite a los directores monitorear las configuraciones de transmisión de aplicaciones.
+ `appsync`— Permite a los directores supervisar las configuraciones de la API de GraphQL.
+ `aps`— Permite a los directores monitorear las configuraciones de monitoreo de Prometheus.
+ `apptest`— Permite a los directores monitorear las configuraciones de las pruebas de las aplicaciones.
+ `arc-zonal-shift`— Permite a los directores monitorear la disponibilidad de las configuraciones de los cambios zonales.
+ `athena`— Permite a los directores monitorear las configuraciones de los motores de consultas y los catálogos de datos.
+ `auditmanager`— Permite a los directores supervisar las evaluaciones de auditoría y cumplimiento.
+ `autoscaling`y `autoscaling-plans` — Permite a los directores monitorear los grupos de autoescalado y los planes de escalado.
+ `b2bi`— Permite a los directores monitorear business-to-business las configuraciones de integración.
+ `backup`y `backup-gateway` — Permite a los directores monitorear las políticas de respaldo y las configuraciones de las puertas de enlace.
+ `batch`— Permite a los directores monitorear los entornos de computación por lotes y las colas de trabajos.
+ `bcm-data-exports`— Permite a los directores monitorear las exportaciones de datos de facturación y gestión de costos.
+ `bedrock`y `bedrock-agentcore` — Permite a los directores monitorear los modelos básicos y las configuraciones de los agentes de IA.
+ `billingconductor`— Permite a los directores supervisar las configuraciones de los grupos de facturación.
+ `budgets`— Permite a los directores monitorear las configuraciones y acciones del presupuesto.
+ `cassandra`— Permite a los directores consultar las configuraciones de las bases de datos gestionadas de Cassandra.
+ `ce`— Permite a los directores monitorear las configuraciones de los informes de costos y uso.
+ `cleanrooms`y `cleanrooms-ml` — Permite a los directores monitorear las configuraciones de colaboración de datos y aprendizaje automático.
+ `cloud9`— Permite a los directores monitorear las configuraciones del entorno de desarrollo en la nube.
+ `cloudformation`— Permite a los directores monitorear la infraestructura como configuraciones de pila de códigos.
+ `cloudfront`— Permite a los directores monitorear las configuraciones de la red de entrega de contenido.
+ `cloudtrail`— Permite a los directores monitorear las configuraciones de registro de API y registros de auditoría.
+ `cloudwatch`— Permite a los directores monitorear las métricas, las alarmas y las configuraciones del panel de control.
+ `codeartifact`— Permite a los directores monitorear las configuraciones de los repositorios de paquetes de software.
+ `codebuild`— Permite a los directores monitorear las configuraciones del proyecto de construcción.
+ `codecommit`— Permite a los directores monitorear las configuraciones del repositorio de código fuente.
+ `codeconnections`— Permite a los directores monitorear las conexiones de fuentes de terceros.
+ `codedeploy`— Permite a los directores monitorear las configuraciones de implementación de las aplicaciones.
+ `codeguru-profiler`y `codeguru-reviewer` — Permite a los directores monitorear las configuraciones de análisis de código y creación de perfiles.
+ `codepipeline`— Permite a los directores monitorear las configuraciones continuas de los procesos de integración y despliegue.
+ `codestar-connections`— Permite a los directores monitorear las conexiones entre las herramientas de los desarrolladores.
+ `cognito-identity`y `cognito-idp` — Permite a los directores monitorear la identidad y las configuraciones del grupo de usuarios.
+ `comprehend`— Permite a los directores monitorear las configuraciones de procesamiento del lenguaje natural.
+ `config`— Permite a los directores gestionar el registro de la configuración y la supervisión del cumplimiento.
+ `connect`— Permite a los directores monitorear las configuraciones del centro de contacto.
Para obtener más información sobre los tipos de recursos compatibles, consulte [Tipos de recursos compatibles para AWS Config](resource-config-reference.md) y[Uso de funciones vinculadas a servicios para AWS Config](using-service-linked-roles.md).
Para ver más detalles sobre la política, incluyendo la última versión del documento de política JSON, consulte [AWSConfigServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigServiceRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS *.
**Recomendación: Utilice el rol vinculado al servicio**
Es recomendable utilizar el rol vinculado a servicios a menos que tenga un caso de uso concreto. Un rol vinculado a un servicio añade todos los permisos necesarios para que AWS Config se ejecute según lo esperado. Algunas características, como los registradores de configuración vinculados con servicios, requieren el uso del rol vinculado a servicios.
## AWS política gestionada: AWS\$1ConfigRole
Para registrar las configuraciones AWS de sus recursos, AWS Config necesita permisos de IAM para obtener los detalles de configuración de sus recursos. Si desea crear un rol de IAM para AWS Config, puede utilizar la política administrada `AWS_ConfigRole` y asociarla a su rol de IAM.
Esta política de IAM se actualiza cada vez que AWS Config añade compatibilidad con un tipo de AWS recurso. Esto significa que AWS Config seguirá teniendo los permisos necesarios para registrar los datos de configuración de los tipos de recursos compatibles siempre que la función **AWS\$1COnFigrole** tenga asociada esta política gestionada. La política proporciona un acceso integral para monitorear y registrar los cambios de configuración en toda la AWS infraestructura, incluidos los permisos para más de 100 AWS servicios, como los servicios de computación, almacenamiento, redes, seguridad, análisis y aprendizaje automático. Para obtener más información, consulte [Tipos de recursos compatibles para AWS Config](resource-config-reference.md) y [Permisos para el rol de IAM asignado a AWS Config](iamrole-permissions.md).
Para ver más detalles sobre la política, incluida la última versión del documento de política de JSON, consulte [AWS\$1COnFigrole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS_ConfigRole.html) en la Guía de referencia de *políticas AWS gestionadas*.
## AWS política gestionada: AWSConfigUserAccess
Esta política de IAM proporciona acceso al uso AWS Config, incluida la búsqueda por etiquetas en los recursos y la lectura de todas las etiquetas. Esto no proporciona permiso de configuración AWS Config, lo que requiere privilegios administrativos.
Consulte la política: [AWSConfigUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigUserAccess.html).
## AWS política gestionada: ConfigConformsServiceRolePolicy
Para implementar y administrar los paquetes de conformidad, se AWS Config requieren permisos de IAM y ciertos permisos de otros AWS servicios. Estos le permiten implementar y gestionar los paquetes de conformidad con todas las funciones y se actualizan cada vez que se AWS Config añaden nuevas funciones a los paquetes de conformidad. Para obtener más información sobre los paquetes de conformidad, consulte [Paquetes de conformidad](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html).
Consulte la política: [ConfigConformsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ConfigConformsServiceRolePolicy.html).
## AWS política gestionada: AWSConfigRulesExecutionRole
Para implementar reglas Lambda AWS personalizadas, se AWS Config requieren permisos de IAM y ciertos permisos de otros servicios. AWS Permiten que AWS Lambda las funciones accedan a la AWS Config API y a las instantáneas de configuración que AWS Config se envían periódicamente a Amazon S3. Este acceso lo requieren las funciones que evalúan los cambios de configuración de las reglas Lambda AWS personalizadas y se actualiza cada vez que se AWS Config agrega una nueva funcionalidad. Para obtener más información sobre las reglas Lambda AWS personalizadas, consulte [Creación de reglas AWS Config Lambda](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_develop-rules_lambda-functions.html) personalizadas. Para obtener más información sobre las instantáneas de configuración, consulte [Conceptos \$1 Instantánea de configuración](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-snapshot). Para obtener más información sobre la entrega de instantáneas de configuración, consulte [Administrar el canal de entrega](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html).
Consulte la política: [AWSConfigRulesExecutionRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRulesExecutionRole.html).
## AWS política gestionada: AWSConfigMultiAccountSetupPolicy
Para implementar, actualizar y eliminar de forma centralizada AWS Config las reglas y los paquetes de conformidad en las cuentas de los miembros de una organización AWS Organizations, se AWS Config requieren permisos de IAM y ciertos permisos de otros AWS servicios. Esta política administrada se actualiza cada vez que AWS Config añade nuevas funciones a la configuración de varias cuentas. Para obtener más información, consulte [Administrar AWS Config las reglas en todas las cuentas de su organización](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) y [Administrar los paquetes de conformidad en todas las cuentas](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html) de su organización.
Consulte la política: [AWSConfigMultiAccountSetupPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigMultiAccountSetupPolicy.html).
## AWS política gestionada: AWSConfigRoleForOrganizations
AWS Config Para permitir las llamadas de solo lectura AWS Organizations APIs, AWS Config requiere permisos de IAM y algunos permisos de otros servicios. AWS Esta política administrada se actualiza cada vez que AWS Config añade nuevas funciones a la configuración de varias cuentas. Para obtener más información, consulte [Administrar AWS Config las reglas en todas las cuentas de su organización](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) y [Administrar los paquetes de conformidad en todas las cuentas](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-organization-apis.html) de su organización.
Consulte la política: [AWSConfigRoleForOrganizations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRoleForOrganizations.html).
## AWS política gestionada: AWSConfigRemediationServiceRolePolicy
Para poder AWS Config corregir `NON_COMPLIANT` los recursos en su nombre, AWS Config requiere permisos de IAM y ciertos permisos de otros AWS servicios. Esta política gestionada se actualiza cada vez que se AWS Config añade una nueva funcionalidad de corrección. Para obtener más información sobre la corrección, consulte [Remediar recursos no conformes con reglas](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html). AWS Config Para obtener más información sobre las condiciones que originan los posibles resultados de la AWS Config evaluación, consulte [Conceptos](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#aws-config-rules) \$1 Reglas. AWS Config
Consulte la política: [AWSConfigRemediationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSConfigRemediationServiceRolePolicy.html).
## AWS Config actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS Config desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del [historial del AWS Config documento](https://docs.aws.amazon.com/config/latest/developerguide/DocumentHistory.html).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Permisos añadidos: application-autoscaling: DescribeScheduledActionsGetApiAssociation, appsync:DescribeStacks, cloudformation:GetStackPolicy, cloudformation:GetTemplate, cloudformation:GetKeyGroup, cloudfront:GetMonitoringSubscription, cloudfront:ListKeyGroups, cloudfront:ListEvaluationFormVersions, connect:DescribeReportDefinitions, cur:ListTagsForResource, datazone:GetDomainUnit, datazone:GetEnvironmentAction, datazone:GetEnvironmentBlueprintConfiguration, datazone:GetEnvironmentProfile, datazone:GetGroupProfile, datazone:GetSubscriptionTarget, datazone: zona:GetUserProfile, zona de datos: ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, datazone:ListEnvironmentProfiles, datazone:ListPolicyGrants, datazone:ListProjectMemberships, datazone:ListSubscriptionTargets, datazone:SearchGroupProfiles, datazone: SearchUserProfilesGetCluster, docdb-elastic:ListClusters, docdb-elastic:ListTagsForResource, docdb-elastic:GetRouteServerAssociations, ec2:GetRouteServerPropagations, ec2:SearchTransitGatewayRoutes, fis:ListTagsForResource, detector de fraude:GetListElements, guardduty: GetListsMetadataGetThreatEntitySet, guardduty:GetTrustedEntitySet, guardduty:ListThreatEntitySets, guardduty: ListTrustedEntitySets iotfleetwise:GetCampaign, iotfleetwise:ListCampaigns, iotsitewise:DescribeComputationModel, iotsitewise:DescribeDataset, iotsitewise:ListComputationModels, iotsitewise:ListDatasets, iotwireless:GetWirelessDeviceImportTask, kendra:, logs:ListWirelessDeviceImportTasks, logs:, logs:ListDataSources, logs:DescribeQueryDefinitions, mediaconnect:GetIntegration, medialive:ListIntegrations, medialive:ListRouterOutputs, medialive:DescribeMultiplex, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:GetCloudWatchAlarmTemplateGroup, medialive:, medialive:GetEventBridgeRuleTemplate, medialive:GetEventBridgeRuleTemplateGroup, medialive:ListCloudWatchAlarmTemplateGroups, medialive:ListCloudWatchAlarmTemplates, network manager:ListEventBridgeRuleTemplateGroups, network manager:ListEventBridgeRuleTemplates, network manager:ListSdiSources, network manager:, network manager:ListSignalMaps, network manager:GetConnectAttachment, network manager: GetCoreNetwork administrador de red: GetCoreNetworkPolicy, administrador de red:GetDirectConnectGatewayAttachment, administrador de red:GetSiteToSiteVpnAttachment, administrador de red:ListAttachments, notificaciones:ListCoreNetworks, notificaciones:GetEventRule, notificaciones:ListEventRules, notificaciones:ListManagedNotificationChannelAssociations, notificaciones:ListNotificationHubs, espacios de refactorización:GetApplication, espacios de refactorización:GetRoute, espacios de refactorización:ListRoutes, resource-explorer-2:GetDefaultView, route53 resolver:GetOutpostResolver, securityhub:ListOutpostResolvers, securityhub: V2DescribeOrganizationConfiguration, securityhub: GetAggregator V2, securityhub: GetAutomationRule V2, securityhub:GetConfigurationPolicyAssociation, ListOrganizationalUnits securityhub:GetFindingAggregator, securityhub: ListAggregators V2, securityhub: ListAutomationRules V2, securityhub:ListConfigurationPolicyAssociations, securityhub:ListFindingAggregators, sms-voice:DescribeConfigurationSets, sms-voice:DescribeKeywords, sms-voice:DescribeProtectConfigurations, sms-voice:GetProtectConfigurationCountryRuleSet, sms-voice:ListPoolOriginationIdentities, sms-voice:ListTagsForResource, workspaces-web:GetTrustStore, workspaces-web:GetTrustStoreCertificate, workspaces-web:GetUserAccessLoggingSettings, workspaces-web:ListTagsForResource. | Esta política ahora admite AWS permisos adicionales para registrar los cambios de configuración en numerosos servicios. | 17 de febrero de 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Permisos añadidos: application-autoscaling:DescribeScheduledActions, appsync:GetApiAssociation, cloudformation:DescribeStacks, cloudformation:GetStackPolicy, cloudformation:, cloudfront:GetTemplate, cloudfront:GetKeyGroup, cloudfront:GetMonitoringSubscription, connect:ListKeyGroups, cur:ListEvaluationFormVersions, datazone:DescribeReportDefinitions, datazone:ListTagsForResource, datazone:GetDomainUnit, datazone:, datazone:GetEnvironmentAction, datazone:GetEnvironmentBlueprintConfiguration, datazone: zona:GetEnvironmentProfile, zona de datos: GetGroupProfile GetSubscriptionTarget GetUserProfile ListDomainUnitsForParent ListEntityOwners ListEnvironmentActions ListEnvironmentBlueprintConfigurations, datazone:ListEnvironmentProfiles, datazone:ListPolicyGrants, datazone:ListProjectMemberships, datazone:ListSubscriptionTargets, datazone:SearchGroupProfiles, datazone: SearchUserProfilesGetCluster, docdb-elastic:ListClusters, docdb-elastic:ListTagsForResource, docdb-elastic:GetRouteServerAssociations, ec2:GetRouteServerPropagations, ec2:SearchTransitGatewayRoutes, fis:ListTagsForResource, detector de fraude:GetListElements, guardduty: GetListsMetadataGetThreatEntitySet, guardduty:GetTrustedEntitySet, guardduty:ListThreatEntitySets, guardduty: ListTrustedEntitySets iotfleetwise:GetCampaign, iotfleetwise:ListCampaigns, iotsitewise:DescribeComputationModel, iotsitewise:DescribeDataset, iotsitewise:ListComputationModels, iotsitewise:ListDatasets, iotwireless:GetWirelessDeviceImportTask, kendra:, logs:ListWirelessDeviceImportTasks, logs:, logs:ListDataSources, logs:DescribeQueryDefinitions, mediaconnect:GetIntegration, medialive:ListIntegrations, medialive:ListRouterOutputs, medialive:DescribeMultiplex, medialive:DescribeSdiSource, medialive:GetCloudWatchAlarmTemplate, medialive:GetCloudWatchAlarmTemplateGroup, medialive:, medialive:GetEventBridgeRuleTemplate, medialive:GetEventBridgeRuleTemplateGroup, medialive:ListCloudWatchAlarmTemplateGroups, medialive:ListCloudWatchAlarmTemplates, network manager:ListEventBridgeRuleTemplateGroups, network manager:ListEventBridgeRuleTemplates, network manager:ListSdiSources, network manager:, network manager:ListSignalMaps, network manager:GetConnectAttachment, network manager: GetCoreNetwork administrador de red: GetCoreNetworkPolicy, administrador de red:GetDirectConnectGatewayAttachment, administrador de red:GetSiteToSiteVpnAttachment, administrador de red:ListAttachments, notificaciones:ListCoreNetworks, notificaciones:GetEventRule, notificaciones:ListEventRules, notificaciones:ListManagedNotificationChannelAssociations, notificaciones:ListNotificationHubs, espacios de refactorización:GetApplication, espacios de refactorización:GetRoute, espacios de refactorización:ListRoutes, resource-explorer-2:GetDefaultView, route53 resolver:GetOutpostResolver, securityhub:ListOutpostResolvers, securityhub: V2DescribeOrganizationConfiguration, securityhub: GetAggregator V2, securityhub: GetAutomationRule V2, securityhub:GetConfigurationPolicyAssociation, ListOrganizationalUnits securityhub:GetFindingAggregator, securityhub: ListAggregators V2, securityhub: ListAutomationRules V2, securityhub:ListConfigurationPolicyAssociations, securityhub:ListFindingAggregators, sms-voice:DescribeConfigurationSets, sms-voice:DescribeKeywords, sms-voice:DescribeProtectConfigurations, sms-voice:GetProtectConfigurationCountryRuleSet, sms-voice:ListPoolOriginationIdentities, sms-voice:ListTagsForResource, workspaces-web:GetTrustStore, workspaces-web:GetTrustStoreCertificate, workspaces-web:GetUserAccessLoggingSettings, workspaces-web:ListTagsForResource. | Esta política ahora admite AWS permisos adicionales para registrar los cambios de configuración en numerosos servicios. | 17 de febrero de 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Política gestionada actualizada con permisos integrales para el registro de la configuración de AWS recursos en más de 100 AWS servicios, incluidos los servicios de computación, almacenamiento, redes, seguridad, análisis y aprendizaje automático. | Esta política ahora proporciona una documentación mejorada de los permisos de los servicios y permite una supervisión integral de todos los AWS servicios que AWS Config permiten el registro de la configuración. | 27 de enero de 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Política gestionada actualizada con permisos integrales para el registro de la configuración de AWS recursos en más de 100 AWS servicios, incluidos los servicios de computación, almacenamiento, redes, seguridad, análisis y aprendizaje automático. | Esta política ahora proporciona una documentación mejorada de los permisos de los servicios y permite una supervisión integral de todos los AWS servicios que AWS Config permiten el registro de la configuración. | 27 de enero de 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— añadir «s3tables: ListTagsForResource «, «s3tables:», «s3tables:GetTableBucketMetricsConfiguration» GetTableBucketStorageClass | Esta política ahora admite permisos adicionales para S3Tables. | 09 de enero de 2026 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— añadir «s3tables: ListTagsForResource «, «s3tables:», «s3tables:GetTableBucketMetricsConfiguration» GetTableBucketStorageClass | Esta política ahora admite permisos adicionales para S3Tables. | 09 de enero de 2026 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— añadir «lightsailGetActiveNames»: «lightsail»: «s3:GetOperations» GetBucketAbac | Esta política ahora admite permisos adicionales para Amazon Lightsail y Amazon Simple Storage Service (Amazon S3). | 20 de noviembre de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— añada «lightsailGetActiveNames»: «lightsail»: «s3:GetOperations» GetBucketAbac | Esta política ahora admite permisos adicionales para Amazon Lightsail y Amazon Simple Storage Service (Amazon S3). | 20 de noviembre de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Política gestionada actualizada con permisos integrales para el registro de la configuración de AWS recursos en más de 100 AWS servicios, incluidos los servicios de computación, almacenamiento, redes, seguridad, análisis y aprendizaje automático. | Esta política ahora proporciona una documentación mejorada de los permisos de los servicios y permite una supervisión integral de todos los AWS servicios que AWS Config permiten el registro de la configuración. | 11 de noviembre de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Política gestionada actualizada con permisos integrales para el registro de la configuración de AWS recursos en varios servicios AWS Identity and Access Management, incluidos Amazon Elastic Compute Cloud, Amazon Simple Storage Service y Amazon Relational Database Service y muchos otros. AWS Lambda | Esta política ahora admite permisos adicionales para la configuración, el registro y la supervisión integrales de los AWS recursos en todos los AWS servicios compatibles. | 10 de noviembre de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— añadir «amplify:GetDomainAssociation» «amplify:ListDomainAssociations» «appsync:ListTagsForResource» appsync: GetSourceApiAssociation «bedrock:ListSourceApiAssociations» bedrock: GetFlow «bedrock:ListAgentCollaborators» bedrock: «cloudTrail:ListFlows» cloudformation:ListPrompts» codeartifact: GetResourcePolicy «codeartifact:DescribePublisher» codeartifact: DescribePackageGroup «codeartifact:ListAllowedRepositoriesForGroup" «codepipeline:ListPackageGroups" «codepipeline:ListActionTypes" «codepipeline:ListTagsForResource" «connect:ListWebhooks" connect: DescribeTrafficDistributionGroup "«fecha límite:ListTrafficDistributionGroups" «ec2:ListFarms" «ec2:GetTransitGatewayRouteTablePropagations» ec2: SearchLocalGatewayRoutes SearchTransitGatewayMulticastGroups«entityresolution:GetMatchingWorkflow" «entityresolution:ListMatchingWorkflows" «iotsitewise:ListAssetModelCompositeModels" «iotsitewise:ListAssetModelProperties" «iotsitewise:ListAssetProperties" «iotsitewise: ListAssociatedAssetsListPublicKeys" «ivs:GetProvisionedConcurrencyConfig» lambda: GetRuntimeManagementConfig «lambda:ListFunctionEventInvokeConfigs» lambda: «lambda:ListFunctionUrlConfigs» «pipes:DescribePipe» «pipes:ListPipes» quicksight: DescribeRefreshSchedule «redshift-serverless:ListSnapshotCopyConfigurations" «shift: «roles en cualquier lugar:GetResourcePolicy» «roles en cualquier lugar:ListCrls» «sagemaker:DescribeApp» «sagemaker:DescribeUserProfile» «sagemaker: ListRefreshSchedules GetCrl ListApps««sagemaker:ListModelPackages» «sagemaker:ListUserProfiles» «secretsmanager:GetResourcePolicy» «securitylake:ListSubscribers» «securitylake:ListTagsForResource» «catálogo de servicios:DescribeServiceAction» «catálogo de servicios:ListApplications» «escudo:» «ssm-incidentes:ListProtectionGroups» «ssm-incidentes:ListTagsForResource» «ssm:GetReplicationSet» «ssm:ListReplicationSets» «ssm:DescribeAssociation» «ssm:DescribePatchBaselines» «ssm:GetDefaultPatchBaseline» ssm: «ssm:GetPatchBaseline" «ssm:GetResourcePolicies» sm: ListAssociations "«ssm:ListResourceDataSync" «wafv2:ListLoggingConfigurations" «bedrock-agentcore:ListCodeInterpreters" «bedrock-agentcore:GetCodeInterpreter» bedrock ListAssociatedResources - núcleo de agente: ListBrowsers «núcleo de agente de roca madre:GetBrowser» «núcleo de agente de roca madre: ListAgentRuntimesGetAgentRuntime» «núcleo de agente de roca madre:» ListAgentRuntimeEndpoints «núcleo de agente de roca madre:GetAgentRuntimeEndpoint» | Esta política ahora admite permisos adicionales para AWS Amplify AWS AppSync, Amazon Bedrock,, AWS CloudTrail, CloudFormation AWS CodeArtifact, Amazon Connect AWS CodePipeline, Amazon EC2 AWS Deadline Cloud,, Amazon IVS AWS Entity Resolution AWS IoT SiteWise, Amazon, Amazon Quick AWS Lambda EventBridge, Amazon Redshift, Amazon Redshift Serverless AWS Identity and Access Management Roles Anywhere, Amazon, Amazon Security Lake AWS Service Catalog, SageMaker AWS Secrets Manager AWS Shield Amazon EC2 Systems Manager y. AWS WAFV2 | 1 de octubre de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— añadir «amplify:GetDomainAssociation» «amplify:ListDomainAssociations» «appsync:ListTagsForResource» appsync: GetSourceApiAssociation «bedrock:ListSourceApiAssociations» bedrock: GetFlow «bedrock:ListAgentCollaborators» bedrock: ListFlows «cloudTrail:ListPrompts» cloudformation:GetResourcePolicy» codeartifact: DescribePublisher «codeartifact:DescribePackageGroup» codeartifact: ListAllowedRepositoriesForGroup «codeartifact:ListPackageGroups" «codepipeline:ListActionTypes" «codepipeline:ListTagsForResource" «codepipeline:ListWebhooks" «connect:DescribeTrafficDistributionGroup" connect: ListTrafficDistributionGroups "«fecha límite:ListFarms" «ec2:GetTransitGatewayRouteTablePropagations" «ec2:SearchLocalGatewayRoutes» ec2: SearchTransitGatewayMulticastGroups«entityresolution:GetMatchingWorkflow" «entityresolution:ListMatchingWorkflows" «iotsitewise:ListAssetModelCompositeModels" «iotsitewise:ListAssetModelProperties" «iotsitewise:ListAssetProperties" «iotsitewise: ListAssociatedAssetsListPublicKeys" «ivs:GetProvisionedConcurrencyConfig» lambda: GetRuntimeManagementConfig «lambda:ListFunctionEventInvokeConfigs» lambda: «lambda:ListFunctionUrlConfigs» «pipes:DescribePipe» «pipes:ListPipes» quicksight: DescribeRefreshSchedule «redshift-serverless:ListSnapshotCopyConfigurations" «shift: «roles en cualquier lugar:GetResourcePolicy» «roles en cualquier lugar:ListCrls» «sagemaker:DescribeApp» «sagemaker:DescribeUserProfile» «sagemaker: ListRefreshSchedules GetCrl ListApps««sagemaker:ListModelPackages» «sagemaker:ListUserProfiles» «secretsmanager:GetResourcePolicy» «securitylake:ListSubscribers» «securitylake:ListTagsForResource» «catálogo de servicios:DescribeServiceAction» «catálogo de servicios:ListApplications» «escudo:» «ssm-incidentes:ListProtectionGroups» «ssm-incidentes:ListTagsForResource» «ssm:GetReplicationSet» «ssm:ListReplicationSets» «ssm:DescribeAssociation» «ssm:DescribePatchBaselines» «ssm:GetDefaultPatchBaseline» ssm: «ssm:GetPatchBaseline" «ssm:GetResourcePolicies» sm: ListAssociations "«ssm:ListResourceDataSync" «wafv2:ListLoggingConfigurations" «bedrock-agentcore:ListCodeInterpreters" «bedrock-agentcore:GetCodeInterpreter» bedrock ListAssociatedResources - núcleo de agente: ListBrowsers «núcleo de agente de roca madre:GetBrowser» «núcleo de agente de roca madre: ListAgentRuntimesGetAgentRuntime» «núcleo de agente de roca madre:» ListAgentRuntimeEndpoints «núcleo de agente de roca madre:GetAgentRuntimeEndpoint» | Esta política ahora admite permisos adicionales para AWS Amplify AWS AppSync, Amazon Bedrock,, AWS CloudTrail, CloudFormation AWS CodeArtifact, Amazon Connect AWS CodePipeline, Amazon EC2 AWS Deadline Cloud,, Amazon IVS AWS Entity Resolution AWS IoT SiteWise, Amazon, Amazon Quick AWS Lambda EventBridge, Amazon Redshift, Amazon Redshift Serverless AWS Identity and Access Management Roles Anywhere, Amazon, Amazon Security Lake AWS Service Catalog, SageMaker AWS Secrets Manager AWS Shield Amazon EC2 Systems Manager y. AWS WAFV2 | 1 de octubre de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Añade "arc-zonal-shift: GetAutoshiftObserverNotificationStatus «, «bedrock: GetModelInvocationLoggingConfiguration «, «cloudtrail: GetEventConfiguration «, «codeartifact: DescribeDomain «, GetDomainPermissionsPolicy «codeartifact: «, GetFleet «deadline: GetQueueFleetAssociation «, «deadline: ListFleets «, «deadline: ListQueueFleetAssociations «, «deadline: ListTagsForResource «, «dms: DescribeDataMigrations «, «dms: ListMigrationProjects «, GetDataCatalogEncryptionSettings «glue: «, «kafkaconnect: DescribeCustomPlugin «, DescribeWorkerConfiguration «kafkaconnect: «, ListCustomPlugins «kafkaconnect: «, ListTagsForResource «kafkaconnect: ListWorkerConfigurations «, «lake formation: DescribeLakeFormationIdentityCenterConfiguration «, «medialive: DescribeMultiplexProgram «, «medialive: ListMultiplexPrograms«, «mediapackage v2: GetChannelGroup «, «mediapackage v2: ListChannelGroups «, «rds: «, DescribeEngineDefaultParameters «roles en cualquier parte: GetProfile «, «roles en cualquier parte: GetTrustAnchor «, «roles en cualquier parte: ListProfiles «, «roles en cualquier parte: ListTagsForResource «, «s3: ListTrustAnchors «, «s3: GetAccessGrant «, «administrador de secretos: ListAccessGrants «, «security lake: DescribeSecret «, «security lake: ListDataLakeExceptions «, «security lake: ListDataLakes «, «security lake: ListLogSources «, «security lake: GetAttributeGroup «: «, «catálogo de servicios: ListAttributeGroups «, «catálogo de servicios: ListServiceActions «, «catálogo de servicios: ListServiceActionsForProvisioningArtifact «, «catálogo de servicios: GetTrafficPolicy «, «ses: ListTagsForResource «,» ver: ListTrafficPolicies «, «radiografía: GetGroup «, GetGroups «radiografía: «, GetSamplingRules «radiografía: ListResourcePolicies «, «radiografía:ListTagsForResource» | Esta política ahora admite permisos adicionales para Amazon Bedrock AWS ARC - Zonal Shift,,,, AWS CloudTrail, AWS CodeArtifact AWS Deadline Cloud AWS Database Migration Service AWS Glue AWS Identity and Access Management, Amazon Managed Streaming for Apache Kafka Kafka AWS Lake Formation, CloudWatch Amazon Logs AWS Elemental MediaLive, AWS Elemental MediaPackage, Amazon Relational Database Service, Amazon Simple Storage Service AWS Secrets Manager, Amazon Security Lake AWS Service Catalog, Amazon Simple Email Service y. AWS X-Ray | 28 de julio de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy) – Add "arc-zonal-shift: GetAutoshiftObserverNotificationStatus «, «bedrock: «, «cloudtrail: GetModelInvocationLoggingConfiguration «, «codeartifact: GetEventConfiguration «, «codeartifact: «, «deadline: DescribeDomain «, «deadline: «, «deadline: «, «deadline: GetDomainPermissionsPolicy «, «deadline: «, GetFleet «dms: «, «dms: GetQueueFleetAssociation «, «glue: «, ListFleets «iam: «, «kafkaconnect: ListQueueFleetAssociations «, kafkaconnect: ListTagsForResource «, kafkaconnect: «, kafkaconnect: DescribeDataMigrations «, kafkaconnect: ListMigrationProjects «, kafkaconnect: «, kafkaconnect: GetDataCatalogEncryptionSettings «, kafkaconnect: «, kafkaconnect: ListPolicies «, kafkaconnect: DescribeCustomPlugin «, kafkaconnect: «, kafkaconnect: DescribeWorkerConfiguration «, kafkaconnect: «, kafkaconnect: ListCustomPlugins «, kafkaconnect: «, kafkaconnect: ListTagsForResource «, kafkaconnect: «, kafkaconnect: ListWorkerConfigurations «, kafkaconnect: connect: «, «kafkaconnect: DescribeLakeFormationIdentityCenterConfiguration «, «kafkaconnect: DescribeIndexPolicies «, «lakeformation: ListTagsForResource «, «registros: «, «medialive: DescribeMultiplexProgram«, «medialive: ListMultiplexPrograms «, «media package v2: GetChannelGroup «, «media package v2: «, «rds: ListChannelGroups «, «roles en cualquier parte: «, GetProfile «roles en cualquier parte: GetTrustAnchor «, «roles en cualquier parte: ListProfiles «, «roles en cualquier parte: ListTagsForResource «, «roles en cualquier lugar: ListTrustAnchors «, GetAccessGrant «s3: «, ListAccessGrants «s3: «, DescribeSecret «administrador de secretos: ListDataLakeExceptions «, «security lake: ListDataLakes «, «security lake»: ListLogSources «, «securitylake: GetAttributeGroup «, «servicecatalog: «, ListAttributeGroups «servicecatalog: «, «servicecatalog: ListServiceActions «, «servicecatalog: ListServiceActionsForProvisioningArtifact «, «ses: DescribeEngineDefaultParameters GetTrafficPolicy «, «ses: ListTagsForResource «, «ses: ListTrafficPolicies «, «xray: GetGroup «, «xray: GetGroups «, «xray: GetSamplingRules «, «xray: ListResourcePolicies «, «xray: ListTagsForResource «, «arn:aws:apigateway: ::/account», «arn:aws:apigateway: ::/usageplans», «arn:aws:apigateway: ::/usageplans/». | Esta política ahora admite permisos adicionales para Amazon Bedrock AWS ARC - Zonal Shift,,,, AWS CloudTrail, AWS CodeArtifact AWS Deadline Cloud AWS Database Migration Service AWS Glue AWS Identity and Access Management, Amazon Managed Streaming for Apache Kafka Kafka AWS Lake Formation, CloudWatch Amazon Logs AWS Elemental MediaLive, AWS Elemental MediaPackage, Amazon Relational Database Service, Amazon Simple Storage Service AWS Secrets Manager, Amazon Security Lake AWS Service Catalog, Amazon Simple Email AWS X-Ray Service y Amazon API Gateway. | 28 de julio de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Añada «backup-gateway: GetHypervisor «, ListHypervisors «backup-gatewaybcm-data-exports: GetExport «," bcm-data-exportsbcm-data-exports: ListExports ListTagsForResource «,": «, GetAgent «roca madre: GetAgentActionGroup «, «roca madre: GetAgentKnowledgeBase «, «roca madre: GetDataSource «, GetFlowAlias «roca madre: «, GetFlowVersion «roca madre: ListAgentActionGroups «, «roca madre: ListAgentKnowledgeBases «, «roca madre: ListDataSources «, ListFlowAliases «roca madre:», ListFlowVersions «formación de nubes: BatchDescribeTypeConfigurations «, «formación de nubes: DescribeStackInstance «, DescribeStackSet «formación de nubes: ListStackInstances «,» cloudformation: ListStackSets «, «cloudfront: GetPublicKey «, «cloudfront: GetRealtimeLogConfig «, ListPublicKeys «cloudfront: «, ListRealtimeLogConfigs «cloudfront: «, GetIdMappingWorkflow «resolución de entidad: GetSchemaMapping «, «resolución de entidad: ListIdMappingWorkflows «, «resolución de entidad: ListSchemaMappings «, «resolución de entidad: ListTagsForResource «, «iotdeviceadvisor: GetSuiteDefinition «, «iotdeviceadvisor: ListSuiteDefinitions «, GetEventSourceMapping «lambda: «, ListEventSourceMappings «lambda: «, «paquete multimedia v2: GetChannel «, «paquete multimedia v2: ListChannels «, «administrador de red: GetTransitGatewayPeering «, ListPeerings «administrador de redpca-connector-ad: GetDirectoryRegistration «,» pca-connector-ad: ListDirectoryRegistrations «,"pca-connector-ad: ListTagsForResource «, «rds:Describe DBShard grupos», DescribeIntegrations «rds: «, DescribeIntegrations «redshift: «, GetTableBucket «s3tables: GetTableBucketEncryption «, «s3tables: GetTableBucketMaintenanceConfiguration «, «s3tables: ListTableBuckets «, «s3tables: GetConfigurationManager «, «ssm-quicksetup:ListConfigurationManagers» | Esta política ahora admite permisos adicionales para Amazon Bedrock AWS Backup gateway Administración de facturación y costos de AWS, Amazon,, AWS CloudFormation,, CloudFront, AWS Entity Resolution AWS IoT Core Device Advisor AWS Lambda AWS Network Manager, Amazon Relational Database Service AWS Private Certificate Authority, Amazon Redshift, Amazon S3 Tables,. Quick Setup de AWS Systems Manager | 18 de junio de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Añada «backup-gateway: GetHypervisor «, ListHypervisors «backup-gatewaybcm-data-exports: GetExport «," bcm-data-exportsbcm-data-exports: ListExports ListTagsForResource «,": «, GetAgent «roca madre: GetAgentActionGroup «, «roca madre: GetAgentKnowledgeBase «, «roca madre: GetDataSource «, GetFlowAlias «roca madre: «, GetFlowVersion «roca madre: ListAgentActionGroups «, «roca madre: ListAgentKnowledgeBases «, «roca madre: ListDataSources «, ListFlowAliases «roca madre:», ListFlowVersions «formación de nubes: BatchDescribeTypeConfigurations «, «formación de nubes: DescribeStackInstance «, DescribeStackSet «formación de nubes: ListStackInstances «,» cloudformation: ListStackSets «, «cloudfront: GetPublicKey «, «cloudfront: GetRealtimeLogConfig «, «cloudfront: ListPublicKeys «, «cloudfront: ListRealtimeLogConfigs «, «resolución de entidad: GetIdMappingWorkflow «, GetSchemaMapping «resolución de entidad: «, ListIdMappingWorkflows «resolución de entidad: «, ListSchemaMappings «resolución de entidad: «, ListTagsForResource «iotdeviceadvisor: GetSuiteDefinition «, «iotdeviceadvisor: ListSuiteDefinitions «, «lambda: GetEventSourceMapping «, «lambda: ListEventSourceMappings «, «administrador de red: GetTransitGatewayPeering «, «administrador de redpca-connector-ad: GetDirectoryRegistration «,"pca-connector-ad: ListDirectoryRegistrations «,"pca-connector-ad: ListTagsForResource «, «rds: ListPeerings Describa DBShard los grupos», DescribeIntegrations «rds: «, DescribeIntegrations «redshift: «, GetTableBucket «s3tables: «, GetTableBucketEncryption «s3tables: GetTableBucketMaintenanceConfiguration «, «s3tables: ListTableBuckets «, «sm-quicksetup:», GetConfigurationManager «ssm-quicksetup:ListConfigurationManagers» | Esta política ahora admite permisos adicionales para Amazon Bedrock AWS Backup gateway Administración de facturación y costos de AWS, Amazon,, AWS CloudFormation,, CloudFront, AWS Entity Resolution AWS IoT Core Device Advisor AWS Lambda AWS Network Manager, Amazon Relational Database Service AWS Private Certificate Authority, Amazon Redshift, Amazon S3 Tables,. Quick Setup de AWS Systems Manager | 18 de junio de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Esta política ahora admite permisos adicionales para Amazon Bedrock. | 27 de mayo de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "bedrock:GetGuardrail", "bedrock:GetInferenceProfile", "bedrock:GetKnowledgeBase", "bedrock:ListGuardrails", "bedrock:ListInferenceProfiles", "bedrock:ListKnowledgeBases", "bedrock:ListTagsForResource" | Esta política ahora admite permisos adicionales para Amazon Bedrock. | 27 de mayo de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Esta política ahora admite permisos adicionales para Amazon Bedrock Intercambio de datos de AWS B2B,,, AWS Database Migration Service (AWS DMS) AWS Clean Rooms AWS CodeConnections, Amazon CloudWatch Logs AWS Direct Connect, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), SageMaker Amazon AI AWS Security Hub CSPM y Contacts y. Administrador de incidentes de AWS Systems Manager Administrador de incidentes de AWS Systems Manager AWS Systems Manager | 8 de abril de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "b2bi:GetPartnership", "b2bi:GetProfile", "b2bi:ListPartnerships", "b2bi:ListProfiles", "bedrock:ListAgents", "cleanrooms:GetConfiguredTable", "cleanrooms:GetConfiguredTableAnalysisRule", "cleanrooms:GetMembership", "cleanrooms:GetPrivacyBudgetTemplate", "cleanrooms:ListConfiguredTables", "cleanrooms:ListMemberships", "cleanrooms:ListPrivacyBudgetTemplates", "codeconnections:GetConnection", "codeconnections:ListConnections", "codeconnections:ListTagsForResource", "directconnect:DescribeConnections", "dms:DescribeReplicationConfigs", "logs:DescribeAccountPolicies", "logs:DescribeResourcePolicies", "macie2:ListAutomatedDiscoveryAccounts", "managedblockchain:GetAccessor", "managedblockchain:ListAccessors", "qbusiness:GetApplication", "qbusiness:ListApplications", "qbusiness:ListTagsForResource", "route53profiles:GetProfile", "route53profiles:GetProfileAssociation", "route53profiles:ListProfileAssociations", "route53profiles:ListProfiles", "route53profiles:ListTagsForResource", "s3:GetAccessGrantsInstance", "s3:GetAccessGrantsLocation", "s3:ListAccessGrantsInstances", "s3:ListAccessGrantsLocations", "sagemaker:DescribeCluster", "sagemaker:DescribeMlflowTrackingServer", "sagemaker:DescribeStudioLifecycleConfig", "sagemaker:ListClusters", "sagemaker:ListMlflowTrackingServers", "sagemaker:ListStudioLifecycleConfigs", "securityhub:DescribeStandardsControls", "securityhub:GetEnabledStandards", "ssm-contacts:GetContact", "ssm-contacts:GetContactChannel", "ssm-contacts:ListContactChannels", "ssm-contacts:ListContacts", "ssm-incidents:GetResponsePlan", "ssm-incidents:ListResponsePlans", "ssm-incidents:ListTagsForResource", "ssm:DescribeInstanceInformation" | Esta política ahora admite permisos adicionales para Amazon Bedrock Intercambio de datos de AWS B2B,,, AWS Database Migration Service (AWS DMS) AWS Clean Rooms AWS CodeConnections, Amazon CloudWatch Logs AWS Direct Connect, Amazon Macie, Amazon Managed Blockchain, Amazon Q Business, Route 53 Profiles, Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3), SageMaker Amazon AI AWS Security Hub CSPM y Contacts y. Administrador de incidentes de AWS Systems Manager Administrador de incidentes de AWS Systems Manager AWS Systems Manager Esta política ahora también admite el permiso de acceso a todos los nombres de dominio de Amazon API Gateway al incluir el patrón de recursos “`arn:aws:apigateway:::/domainnames/`”. | 8 de abril de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "ec2:GetAllowedImagesSettings" | Esta política admite ahora permisos adicionales para Amazon Elastic Compute Cloud (Amazon EC2). | 4 de marzo de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "ec2:GetAllowedImagesSettings" | Esta política admite ahora permisos adicionales para Amazon Elastic Compute Cloud (Amazon EC2). | 4 de marzo de 2025 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Esta política ahora admite permisos adicionales para Amazon Comprehend AWS Clean Rooms, Amazon Elastic Compute Cloud (Amazon EC2) AWS HealthOmics, Amazon Simple Storage Service (Amazon S3) y Amazon Simple Email Service (Amazon SES). | 16 de enero de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "cleanrooms-ml:GetTrainingDataset", "cleanrooms-ml:ListTrainingDatasets", "comprehend:DescribeFlywheel", "comprehend:ListFlywheels", "comprehend:ListTagsForResource", "ec2:GetSnapshotBlockPublicAccessState", "omics:GetAnnotationStore", "omics:GetRunGroup", "omics:GetSequenceStore", "omics:GetVariantStore", "omics:ListAnnotationStores", "omics:ListRunGroups", "omics:ListSequenceStores", "omics:ListTagsForResource", "omics:ListVariantStores", "s3express:GetEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "ses:GetDedicatedIpPool", "ses:GetDedicatedIps", and "ses:ListDedicatedIpPools" | Esta política ahora admite permisos adicionales para Amazon Comprehend AWS Clean Rooms, Amazon Elastic Compute Cloud (Amazon EC2) AWS HealthOmics, Amazon Simple Storage Service (Amazon S3) y Amazon Simple Email Service (Amazon SES). | 16 de enero de 2025 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "organizations:ListAWSServiceAccessForOrganization" | Esta política ahora admite permisos adicionales para AWS Organizations. | 18 de diciembre de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Esta política ahora admite permisos adicionales para Amazon Connect AWS AppConfig, Amazon AWS CloudTrail, Amazon DevOps Guru, Identity Store DataZone,, AWS Glue, Amazon Interactive Video Service (Amazon IVS) AWS IoT AWS IoT FleetWise AWS IoT Wireless, Amazon Logs, Amazon Observability Access AWS Payment Cryptography Manager, CloudWatch Amazon Relational Database Service ( CloudWatch Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3)) Simple Storage S3), Amazon Scheduler y Amazon VPC Lattice. EventBridge AWS Systems Manager | 7 de noviembre de 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "app-integrations:GetApplication", "app-integrations:ListApplications", "app-integrations:ListTagsForResource", "appconfig:GetExtension", "appconfig:ListExtensions", "cloudtrail:GetInsightSelectors", "connect:DescribeQueue", "connect:DescribeRoutingProfile", "connect:DescribeSecurityProfile", "connect:ListQueueQuickConnects", "connect:ListQueues", "connect:ListRoutingProfileQueues", "connect:ListRoutingProfiles", "connect:ListSecurityProfileApplications", "connect:ListSecurityProfilePermissions", "connect:ListSecurityProfiles", "datazone:GetDomain", "datazone:ListDomains", "devops-guru:ListNotificationChannels", "glue:GetRegistry", "glue:ListRegistries", "identitystore:DescribeGroup", "identitystore:DescribeGroupMembership" "identitystore:ListGroupMemberships", "identitystore:ListGroups", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:ListThingGroups", "iot:ListThingTypes", "iotfleetwise:GetDecoderManifest", "iotfleetwise:GetFleet", "iotfleetwise:GetModelManifest", "iotfleetwise:GetSignalCatalog", "iotfleetwise:GetVehicle", "iotfleetwise:ListDecoderManifestNetworkInterfaces", "iotfleetwise:ListDecoderManifests", "iotfleetwise:ListDecoderManifestSignals", "iotfleetwise:ListFleets", "iotfleetwise:ListModelManifestNodes", "iotfleetwise:ListModelManifests", "iotfleetwise:ListSignalCatalogNodes", "iotfleetwise:ListSignalCatalogs", "iotfleetwise:ListTagsForResource", "iotfleetwise:ListVehicles", "iotwireless:GetDestination", "iotwireless:GetDeviceProfile", "iotwireless:GetWirelessGateway", "iotwireless:ListDestinations", "iotwireless:ListDeviceProfiles", "iotwireless:ListWirelessGateways", "ivschat:GetLoggingConfiguration", "ivschat:GetRoom" "ivschat:ListLoggingConfigurations", "ivschat:ListRooms", "ivschat:ListTagsForResource", "logs:GetLogAnomalyDetector", "logs:ListLogAnomalyDetectors", "oam:GetSink" "oam:GetSinkPolicy", "oam:ListSinks", "payment-cryptography:GetAlias", "payment-cryptography:GetKey", "payment-cryptography:ListAliases", "payment-cryptography:ListKeys", "payment-cryptography:ListTagsForResource", "rds:DescribeDBProxyTargetGroups", "rds:DescribeDBProxyTargets", "rekognition:DescribeProjects", "s3:GetStorageLensGroup", "s3:ListStorageLensGroups", "s3:ListTagsForResource", "scheduler:GetScheduleGroup", "scheduler:ListScheduleGroups", "scheduler:ListTagsForResource", "ssm:GetServiceSetting", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:GetService", "vpc-lattice:GetServiceNetwork", "vpc-lattice:GetTargetGroup", "vpc-lattice:ListAccessLogSubscriptions", "vpc-lattice:ListServiceNetworks", "vpc-lattice:ListServices", "vpc-lattice:ListTagsForResource", "vpc-lattice:ListTargetGroups", and "vpc-lattice:ListTargets" | Esta política ahora admite permisos adicionales para Amazon Connect AWS AppConfig, Amazon AWS CloudTrail, Amazon DevOps Guru, Identity Store DataZone,, AWS Glue, Amazon Interactive Video Service (Amazon IVS) AWS IoT AWS IoT FleetWise AWS IoT Wireless, Amazon Logs, Amazon Observability Access AWS Payment Cryptography Manager, CloudWatch Amazon Relational Database Service ( CloudWatch Amazon RDS), Amazon Rekognition, Amazon Simple Storage Service (Amazon S3)) Simple Storage S3), Amazon Scheduler y Amazon VPC Lattice. EventBridge AWS Systems Manager | 7 de noviembre de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Esta política ahora admite permisos adicionales para Amazon OpenSearch Service Severless, Amazon, AppStream, AWS Backup AWS CloudTrail AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon AWS Elemental MediaConnect IVS),, AWS Elemental MediaTailor, AWS HealthOmics y Amazon Scheduler. EventBridge | 16 de septiembre de 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "aoss:BatchGetCollection," "aoss:BatchGetLifecyclePolicy," "aoss:BatchGetVpcEndpoint," "aoss:GetAccessPolicy," "aoss:GetSecurityConfig," "aoss:GetSecurityPolicy," "aoss:ListAccessPolicies," "aoss:ListCollections," "aoss:ListLifecyclePolicies," "aoss:ListSecurityConfigs," "aoss:ListSecurityPolicies," "aoss:ListVpcEndpoints," "appstream:DescribeAppBlockBuilders," "backup:GetRestoreTestingPlan," "backup:GetRestoreTestingSelection", "backup:ListRestoreTestingPlans," "backup:ListRestoreTestingSelections," "cloudTrail:GetChannel, "cloudTrail:ListChannels," "glue:GetTrigger," "glue:ListTriggers, "imagebuilder:GetLifecyclePolicy," "imagebuilder:ListLifecyclePolicies," "iot:DescribeBillingGroup," "iot:ListBillingGroups," "ivs:GetEncoderConfiguration," "ivs:GetPlaybackRestrictionPolicy," "ivs:GetStage," "ivs:GetStorageConfiguration," "ivs:ListEncoderConfigurations," "ivs:ListPlaybackRestrictionPolicies," "ivs:ListStages," "ivs:ListStorageConfigurations," "mediaconnect:DescribeBridge", "mediaconnect:DescribeGatewa," "mediaconnect:ListBridges," "mediaconnect:ListGateways", "mediatailor:DescribeChannel," "mediatailor:DescribeLiveSource," "mediatailor:DescribeSourceLocation," "mediatailor:DescribeVodSource", "mediatailor:ListChannels," "mediatailor:ListLiveSources", "mediatailor:ListSourceLocations," "mediatailor:ListVodSources," "omics:GetWorkflow," "omics:ListWorkflows," "scheduler:GetSchedule," and "scheduler:ListSchedules" | Esta política ahora admite permisos adicionales para Amazon OpenSearch Service Severless, Amazon, AppStream, AWS Backup AWS CloudTrail AWS Glue, EC2 Image Builder AWS IoT, Amazon Interactive Video Service (Amazon AWS Elemental MediaConnect IVS),, AWS Elemental MediaTailor, AWS HealthOmics y Amazon Scheduler. EventBridge | 16 de septiembre de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Esta política ahora admite permisos adicionales para Amazon Elastic File System (Amazon EFS), Amazon Redshift y. AWS Systems Manager para SAP | 17 de junio de 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "elasticfilesystem:DescribeTags," "redshift:DescribeTags," and "ssm-sap:ListTagsForResource" | Esta política ahora admite permisos adicionales para Amazon Elastic File System (Amazon EFS), Amazon Redshift y. AWS Systems Manager para SAP | 17 de junio de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Esta política ahora admite permisos adicionales para Amazon Managed Service para Prometheus, CloudWatch Amazon, Amazon Cognito, Amazon, ElastiCache Amazon, (IAM) AWS Identity and Access Management ,, FSx AWS Glue Amazon Redshift Serverless AWS Lambda AWS RAM, Amazon AI y Amazon Simple Notification Service ( SageMaker Amazon SNS). | 22 de febrero de 2024 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "aps:DescribeAlertManagerDefinition," "cloudwatch:DescribeAlarmsForMetric," "cognito-identity:DescribeIdentityPool, "cognito-identity:GetPrincipalTagAttributeMap," "elasticache:DescribeCacheSecurityGroups," "elasticache:DescribeUserGroups," "elasticache:DescribeUsers," "elasticache:DescribeGlobalReplicationGroups," "fsx:DescribeDataRepositoryAssociations," "glue:GetDatabase," "glue:GetDatabases," "iam:ListUsers," "lambda:GetLayerVersion," "lambda:ListLayers," "lambda:ListLayerVersions," "ram:GetPermission," "ram:ListPermissionAssociations," "ram:ListPermissions," "ram:ListPermissionVersions," "redshift-serverless:GetNamespace," "redshift-serverless:GetWorkgroup," "redshift-serverless:ListNamespaces," "redshift-serverless:ListTagsForResource," "redshift-serverless:ListWorkgroups," "sagemaker:DescribeInferenceExperiment," "sagemaker:ListInferenceExperiments," and "sns:GetSMSSandboxAccountStatus" | Esta política ahora admite permisos adicionales para Amazon Managed Service para Prometheus, CloudWatch Amazon, Amazon Cognito, Amazon, ElastiCache Amazon, (IAM) AWS Identity and Access Management ,, FSx AWS Glue Amazon Redshift Serverless AWS Lambda AWS RAM, Amazon AI y Amazon Simple Notification Service ( SageMaker Amazon SNS). | 22 de febrero de 2024 |
| [AWSConfigUserAccess](#security-iam-awsmanpol-AWSConfigUserAccess)— AWS Config comienza a realizar un seguimiento de los cambios de esta política gestionada AWS | Esta política proporciona acceso al uso AWS Config, incluida la búsqueda por etiquetas en los recursos y la lectura de todas las etiquetas. Esto no proporciona permiso de configuración AWS Config, lo que requiere privilegios administrativos. | 22 de febrero de 2024 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Esta política ahora admite permisos adicionales para AWS AppConfig Amazon Managed Service for Prometheus AWS Database Migration Service ,AWS DMS(), () IAM, Amazon Managed Streaming for Apache Kafka AWS Identity and Access Management(Amazon MSK) AWS Organizations, Amazon Logs y CloudWatch Amazon Simple Storage Service (Amazon S3). | 5 de diciembre de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "appconfig:GetExtensionAssociation," "appconfig:ListExtensionAssociations," "aps:DescribeLoggingConfiguration," "dms:DescribeReplicationTaskAssessmentRuns," "iam:GetOpenIDConnectProvider," "iam:ListOpenIDConnectProviders," "kafka:DescribeVpcConnection," "kafka:GetClusterPolicy," "kafka:ListVpcConnections," "logs:DescribeMetricFilters," "organizations:ListDelegatedAdministrators," "s3:GetBucketPolicyStatus," "s3express:GetBucketPolicy," and "s3express:ListAllMyDirectoryBuckets" | Esta política ahora admite permisos adicionales para AWS AppConfig Amazon Managed Service for Prometheus AWS Database Migration Service ,AWS DMS(), () IAM, Amazon Managed Streaming for Apache Kafka AWS Identity and Access Management(Amazon MSK) AWS Organizations, Amazon Logs y CloudWatch Amazon Simple Storage Service (Amazon S3). | 5 de diciembre de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Esta política ahora admite permisos adicionales para Amazon Cognito, Amazon Connect, Amazon EMR, Amazon MemoryDB AWS Ground Station, AWS Mainframe Modernization Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53 y. AWS Service Catalog AWS Transfer Family | 17 de noviembre de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Esta política ahora añade identificadores de seguridad (SID) para `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` y `AWSConfigSLRApiGatewayStatementID`. | 17 de noviembre de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "backup:DescribeProtectedResource," "cognito-identity:GetIdentityPoolRoles," "cognito-identity:ListIdentityPools," "cognito-identity:ListTagsForResource," "cognito-idp:DescribeIdentityProvider," "cognito-idp:DescribeResourceServer," "cognito-idp:DescribeUserPool," "cognito-idp:DescribeUserPoolClient," "cognito-idp:DescribeUserPoolDomain," "cognito-idp:GetGroup," "cognito-idp:GetUserPoolMfaConfig," "cognito-idp:ListGroups," "cognito-idp:ListIdentityProviders," "cognito-idp:ListResourceServers," "cognito-idp:ListUserPoolClients," "cognito-idp:ListUserPools," "cognito-idp:ListTagsForResource," "connect:DescribeEvaluationForm," "connect:DescribeInstanceStorageConfig," "connect:DescribePrompt," "connect:DescribeRule," "connect:DescribeUser," "connect:GetTaskTemplate," "connect:ListApprovedOrigins," "connect:ListEvaluationForms," "connect:ListInstanceStorageConfigs," "connect:ListIntegrationAssociations," "connect:ListPrompts," "connect:ListRules," "connect:ListSecurityKeys," "connect:ListTagsForResource," "connect:ListTaskTemplates," "connect:ListUsers," "emr-containers:DescribeVirtualCluster," "emr-containers:ListVirtualClusters," "emr-serverless:GetApplication," "emr-serverless:ListApplications," "groundstation:GetDataflowEndpointGroup," "groundstation:ListDataflowEndpointGroups," "m2:GetEnvironment," "m2:ListEnvironments," "m2:ListTagsForResource," "memorydb:DescribeAcls," "memorydb:DescribeClusters," "memorydb:DescribeParameterGroups," "memorydb:DescribeParameters," "memorydb:DescribeSubnetGroups," "organizations:ListRoots," "quicksight:DescribeAccountSubscription," "quicksight:DescribeDataSetRefreshProperties," "rds:DescribeEngineDefaultClusterParameters," "redshift:DescribeEndpointAccess," "redshift:DescribeEndpointAuthorization," "route53:GetChange," "route53:ListCidrBlocks," "route53:ListCidrLocations," "serviceCatalog:DescribePortfolioShares," "transfer:DescribeProfile," and "transfer:ListProfiles" | Esta política ahora admite permisos adicionales para Amazon Cognito, Amazon Connect, Amazon EMR, Amazon MemoryDB AWS Ground Station, AWS Mainframe Modernization Amazon Quick AWS Organizations, Amazon Relational Database Service (Amazon RDS), Amazon Redshift, Amazon Route 53 y. AWS Service Catalog AWS Transfer Family | 17 de noviembre de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "Sid": "AWSConfigServiceRolePolicyStatementID," "Sid": "AWSConfigSLRLogStatementID," "Sid": "AWSConfigSLRLogEventStatementID," and "Sid": "AWSConfigSLRApiGatewayStatementID" | Esta política ahora añade identificadores de seguridad (SID) para `AWSConfigServiceRolePolicyStatementID`, `AWSConfigSLRLogStatementID`, `AWSConfigSLRLogEventStatementID` y `AWSConfigSLRApiGatewayStatementID`. | 17 de noviembre de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Esta política ahora admite permisos adicionales para Amazon Connect AWS Private CA AWS App Mesh, Amazon Elastic Container Service (Amazon ECS), Amazon Evidentemente, CloudWatch Amazon Managed Grafana, Amazon, GuardDuty Amazon AWS IoT Inspector AWS IoT TwinMaker,, Amazon Managed Streaming for Apache Kafka (Amazon AWS Lambda MSK AWS Network Manager) AWS Organizations,,, y Amazon AI. SageMaker | 4 de octubre de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "acm-pca:GetCertificateAuthorityCertificate," "appmesh:DescribeMesh," "appmesh:ListGatewayRoutes," "connect:DescribeInstance," "connect:DescribeQuickConnect," "connect:ListQuickConnects," "ecs:DescribeCapacityProviders," "evidently:GetSegment," "evidently:ListSegments," "grafana:DescribeWorkspace," "grafana:DescribeWorkspaceAuthentication," "grafana:DescribeWorkspaceConfiguration," "grafana:DescribeWorkspaceConfiguration," "guardduty:GetMemberDetectors," "inspector2:BatchGetAccountStatus," "inspector2:GetDelegatedAdminAccount," "inspector2:ListMembers," "iot:DescribeCACertificate," "iot:ListCACertificates," "iot:ListTagsForResource," "iottwinmaker:GetSyncJob," "iottwinmaker:ListSyncJobs," "kafka:ListTagsForResource," "kafkaconnect:DescribeConnector," "kafkaconnect:ListConnectors," "lambda:GetCodeSigningConfig," "lambda:ListCodeSigningConfigs," "lambda:ListTags," "networkmanager:GetConnectPeer," "organizations:DescribeOrganization," "organizations:ListTargetsForPolicy," "sagemaker:DescribeDataQualityJob," "sagemaker:DescribeModelExplainabilityJob," "sagemaker:ListDataQualityJob," and "sagemaker:ExplainabilityJob" | Esta política ahora admite permisos adicionales para Amazon Connect AWS Private CA AWS App Mesh, Amazon Elastic Container Service (Amazon ECS), Amazon Evidentemente, CloudWatch Amazon Managed Grafana, Amazon, GuardDuty Amazon AWS IoT Inspector AWS IoT TwinMaker,, Amazon Managed Streaming for Apache Kafka (Amazon AWS Lambda MSK AWS Network Manager) AWS Organizations,,, y Amazon AI. SageMaker | 4 de octubre de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): elimina "ssm:GetParameter" | Esta política ahora elimina los permisos para AWS Systems Manager (Systems Manager). | 6 de septiembre de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "appmesh:DescribeGatewayRoute","appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", and "sns:GetDataProtectionPolicy" | Esta política ahora admite permisos adicionales para AWS App Mesh, Amazon AWS CloudFormation, Amazon Connect CloudFront AWS CodeArtifact, Amazon AWS CodeBuild, AWS Identity and Access Management (IAM) AWS Glue GuardDuty, Amazon Inspector,,, Amazon Managed Streaming for Apache Kafka AWS IoT AWS IoT TwinMaker AWS IoT Wireless, Amazon Macie,,,, Amazon Route 53 AWS Elemental MediaConnect AWS Network Manager AWS Organizations Explorador de recursos de AWS, Amazon Simple Storage Service (Amazon S3) y Amazon Simple Notification Service (Amazon SNS) Simple Service SNS). | 28 de julio de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "appmesh:DescribeGatewayRoute", "appstream:DescribeStacks", "aps:ListTagsForResource", "cloudfront:GetFunction", "cloudfront:GetOriginAccessControl", "cloudfront:ListFunctions", "cloudfront:ListOriginAccessControls", "codeartifact:ListPackages", "codeartifact:ListPackageVersions", "codebuild:BatchGetReportGroups", "codebuild:ListReportGroups", "connect:ListInstanceAttributes", "connect:ListInstances", "glue:GetPartition", "glue:GetPartitions", "guardduty:GetAdministratorAccount", "iam:ListInstanceProfileTags", "inspector2:ListFilters", "iot:DescribeJobTemplate", "iot:DescribeProvisioningTemplate", "iot:ListJobTemplates", "iot:ListProvisioningTemplates", "iottwinmaker:GetComponentType", "iottwinmaker:ListComponentTypes", "iotwireless:GetFuotaTask", "iotwireless:GetMulticastGroup", "iotwireless:ListFuotaTasks", "iotwireless:ListMulticastGroups", "kafka:ListScramSecrets", "macie2:ListTagsForResource", "mediaconnect:ListTagsForResource", "networkmanager:GetConnectPeer", "networkmanager:ListConnectPeers", "organizations:DescribeEffectivePolicy", "organizations:DescribeResourcePolicy", "resource-explorer-2:GetIndex", "resource-explorer-2:ListIndexes", "resource-explorer-2:ListTagsForResource", "route53:ListCidrCollections", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "sns:GetDataProtectionPolicy", "ssm:DescribeParameters", "ssm:GetParameter", and "ssm:ListTagsForResource" | Esta política ahora admite permisos adicionales para Amazon WorkSpaces Applications AWS App Mesh, Amazon, AWS CloudFormation, Amazon Connect CloudFront AWS CodeArtifact, Amazon AWS CodeBuild, AWS Identity and Access Management (IAM) AWS Glue GuardDuty, Amazon Inspector,,, Amazon Managed Streaming for Apache Kafka AWS IoT AWS IoT TwinMaker AWS IoT Wireless, Amazon Macie,,,,, Amazon Route 53 AWS Elemental MediaConnect AWS Network Manager AWS Organizations Explorador de recursos de AWS, Amazon Simple Storage Service (Amazon S3), Amazon Simple Notification Service (Simple Notification (SNS) y Amazon EC2 Systems Manager (SSM). | 28 de julio de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", “dynamodb:DescribeTableReplicaAutoScaling" "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases" "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Esta política ahora admite permisos adicionales para Amazon Connect AWS Amplify, Amazon Managed Service for Prometheus AWS App Mesh, Amazon Athena,,,, Amazon, Amazon AWS Directory Service DynamoDB AWS Batch AWS CloudFormation AWS CloudTrail AWS CodeArtifact, Amazon Elastic Compute Cloud (Amazon EC2) CodeGuru, Amazon CloudWatch Evidentemente, Amazon Forecast,,, (IAM), Amazon Managed Streaming for Apache Kafka Managed for Apache (Amazon MSK) AWS IoT Greengrass, AWS Ground Station AWS Identity and Access Management Amazon Lightsail, Amazon Logs, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon VPC) AWS Organizations CloudWatch AWS Elemental MediaConnect AWS Elemental MediaTailor), Amazon Personalize, Amazon Quick AWS Migration Hub Refactor Spaces, Amazon Simple Storage Service (Amazon S3), SageMaker Amazon AI,. AWS Transfer Family | 13 de junio de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir "amplify:GetBranch", "amplify:ListBranches", "app-integrations:GetEventIntegration", "app-integrations:ListEventIntegrationAssociations", "app-integrations:ListEventIntegrations", "appmesh:DescribeRoute", "appmesh:ListRoutes", "aps:ListRuleGroupsNamespaces", "athena:GetPreparedStatement", "athena:ListPreparedStatements", "batch:DescribeSchedulingPolicies", "batch:ListSchedulingPolicies", "cloudformation:ListTypes", "cloudtrail:ListTrails", "codeartifact:ListDomains", "codeguru-profiler:DescribeProfilingGroup", "codeguru-profiler:GetNotificationConfiguration", "codeguru-profiler:GetPolicy", "codeguru-profiler:ListProfilingGroups", "ds:DescribeDomainControllers", "dynamodb:DescribeTableReplicaAutoScaling", "dynamodb:DescribeTimeToLive", "ec2:DescribeTrafficMirrorFilters", "evidently:GetLaunch", "evidently:ListLaunches", "forecast:DescribeDatasetGroup", "forecast:ListDatasetGroups", "greengrass:DescribeComponent", "greengrass:GetComponent", "greengrass:ListComponents", "greengrass:ListComponentVersions", "groundstation:GetMissionProfile", "groundstation:ListMissionProfiles", "iam:ListGroups", "iam:ListRoles", "kafka:DescribeConfiguration", "kafka:DescribeConfigurationRevision", "kafka:ListConfigurations", "lightsail:GetRelationalDatabases", "logs:ListTagsLogGroup", "mediaconnect:DescribeFlow", "mediaconnect:ListFlows", "mediatailor:GetPlaybackConfiguration", "mediatailor:ListPlaybackConfigurations", "mobiletargeting:GetApplicationSettings", "mobiletargeting:GetEmailTemplate", "mobiletargeting:GetEventStream", "mobiletargeting:ListTemplates", "networkmanager:GetCustomerGatewayAssociations", "networkmanager:GetLinkAssociations", "organizations:DescribeAccount", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "organizations:ListTagsForResource", "personalize:DescribeDataset", "personalize:DescribeDatasetGroup", "personalize:DescribeSchema", "personalize:DescribeSolution", "personalize:ListDatasetGroups", "personalize:ListDatasetImportJobs", "personalize:ListDatasets", "personalize:ListSchemas", "personalize:ListSolutions", "personalize:ListTagsForResource", "quicksight:ListTemplates", "refactor-spaces:GetEnvironment", "refactor-spaces:GetService", "refactor-spaces:ListApplications", "refactor-spaces:ListEnvironments", "refactor-spaces:ListServices", "s3:GetAccessPointPolicyStatusForObjectLambda", "sagemaker:DescribeDeviceFleet", "sagemaker:DescribeFeatureGroup", "sagemaker:ListDeviceFleets", "sagemaker:ListFeatureGroups", "sagemaker:ListModels", and "transfer:ListTagsForResource" | Esta política ahora admite permisos adicionales para Amazon Connect AWS Amplify, Amazon Managed Service for Prometheus AWS App Mesh, Amazon Athena,,,, Amazon, Amazon AWS Directory Service DynamoDB AWS Batch AWS CloudFormation AWS CloudTrail AWS CodeArtifact, Amazon Elastic Compute Cloud (Amazon EC2) CodeGuru, Amazon CloudWatch Evidentemente, Amazon Forecast,,, (IAM), Amazon Managed Streaming for Apache Kafka Managed for Kafka ( AWS Ground Station Amazon MSK) AWS IoT Greengrass, AWS Identity and Access Management Amazon Lightsail, Amazon Logs, Amazon Pinpoint, Amazon Virtual Private Cloud (Amazon VPC) AWS Organizations CloudWatch AWS Elemental MediaConnect AWS Elemental MediaTailor, Amazon Personalize, Amazon Quick AWS Migration Hub Refactor Spaces, Amazon Simple Storage Service (Amazon S3), SageMaker Amazon AI,. AWS Transfer Family | 13 de junio de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, GetInstanceTypesFromInstanceRequirement ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Esta política ahora admite permisos adicionales para Amazon Managed Workflows para AWS Amplify, AWS App Mesh AWS App Runner, Amazon CloudFront AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, SageMaker Amazon AWS Transfer Family AI, Amazon AWS Migration Hub Pinpoint AWS , Resilience Hub, Amazon CloudWatch, AWS Directory Service y. AWS WAF | 13 de abril de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir amplify:GetApp, amplify:ListApps, appmesh:DescribeVirtualGateway, appmesh:DescribeVirtualNode, appmesh:DescribeVirtualRouter, appmesh:DescribeVirtualService, appmesh:ListMeshes, appmesh:ListTagsForResource, appmesh:ListVirtualGateways, appmesh:ListVirtualNodes, appmesh:ListVirtualRouters, appmesh:ListVirtualServices, apprunner:DescribeVpcConnector, apprunner:ListVpcConnectors, cloudformation:ListTypes, cloudfront:ListResponseHeadersPolicies, codeartifact:ListRepositories, ds:DescribeEventTopics, ds:ListLogSubscriptions, ec2:GetInstanceTypesFromInstanceRequirement, ec2:GetManagedPrefixListEntries, kendra:DescribeIndex, kendra:ListIndices, kendra:ListTagsForResource, logs:DescribeDestinations, logs:GetDataProtectionPolicy, macie2:DescribeOrganizationConfiguration, macie2:GetAutomatedDiscoveryConfiguration, macie2:GetClassificationExportConfiguration, macie2:GetCustomDataIdentifier, macie2:GetFindingsPublicationConfiguration, macie2:ListCustomDataIdentifiers, mobiletargeting:GetEmailChannel, refactor-spaces:GetEnvironment, refactor-spaces:ListEnvironments, resiliencehub:ListTagsForResource, route53:GetDNSSEC, sagemaker:DescribeDomain, sagemaker:DescribeModelBiasJobDefinition, sagemaker:DescribeModelQualityJobDefinition, sagemaker:DescribePipeline, sagemaker:DescribeProject, sagemaker:ListDomains, sagemaker:ListModelBiasJobDefinitions, sagemaker:ListModelQualityJobDefinitions, sagemaker:ListPipelines, sagemaker:ListProjects, transfer:DescribeAgreement, transfer:DescribeCertificate, transfer:ListAgreements, transfer:ListCertificates, and waf-regional:ListLoggingConfigurations | Esta política ahora admite permisos adicionales para Amazon Managed Workflows para AWS Amplify, AWS App Mesh AWS App Runner, Amazon CloudFront AWS CodeArtifact, Amazon Elastic Compute Cloud, Amazon Kendra, Amazon Macie, Amazon Route 53, SageMaker Amazon AWS Transfer Family AI, Amazon AWS Migration Hub Pinpoint AWS , Resilience Hub, Amazon CloudWatch, AWS Directory Service y. AWS WAF | 13 de abril de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudfront:GetResponseHeadersPolicy, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Esta política ahora admite permisos adicionales para Amazon Managed Workflows para Amazon AppFlow AWS App Runner, Amazon WorkSpaces Applications, Amazon CloudFront, Amazon, CloudWatch,, AWS CodeArtifact AWS CodeCommit AWS Device Farm, Amazon CloudWatch Evidentemente, Amazon Forecast, AWS Ground Station, AWS Identity and Access Management (IAM), AWS IoT Amazon MemoryDB, Amazon Pinpoint,, Amazon AWS Network Manager Relational AWS Panorama Database Service (Amazon RDS), Amazon Redshift y Amazon AI. SageMaker | 30 de marzo de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir appflow:DescribeFlow, appflow:ListFlows, appflow:ListTagsForResource, apprunner:DescribeService, apprunner:ListServices, apprunner:ListTagsForResource, appstream:DescribeApplications, appstream:DescribeFleets, cloudformation:ListTypes, cloudfront:GetResponseHeadersPolicy, cloudfront:ListDistributions, cloudwatch:ListTagsForResource, codeartifact:DescribeRepository, codeartifact:GetRepositoryPermissionsPolicy, codeartifact:ListTagsForResource, codecommit:GetRepository, codecommit:GetRepositoryTriggers, codecommit:ListRepositories, codecommit:ListTagsForResource, devicefarm:GetInstanceProfile, devicefarm:ListInstanceProfiles, devicefarm:ListProjects, ec2:DescribeTrafficMirrorFilters, evidently:GetProject, evidently:ListProjects, evidently:ListTagsForResource, forecast:DescribeDataset, forecast:ListDatasets, forecast:ListTagsForResource, groundstation:GetConfig, groundstation:ListConfigs, groundstation:ListTagsForResource, iam:GetInstanceProfile, iam:GetSAMLProvider, iam:GetServerCertificate, iam:ListAccessKeys, iam:ListGroups, iam:ListInstanceProfiles, iam:ListMFADevices, iam:ListMFADeviceTags, iam:ListRoles, iam:ListSAMLProviders, iot:DescribeFleetMetric, iot:ListFleetMetrics, memorydb:DescribeUsers, memorydb:ListTags, mobiletargeting:GetApp, mobiletargeting:GetCampaigns, networkmanager:GetDevices, networkmanager:GetLinks, networkmanager:GetSites, panorama:ListNodes, rds:DescribeDBProxyEndpoints, redshift:DescribeScheduledActions, sagemaker:DescribeAppImageConfig, sagemaker:DescribeImage, sagemaker:DescribeImageVersion, sagemaker:ListAppImageConfigs, sagemaker:ListImages, and sagemaker:ListImageVersions | Esta política ahora admite permisos adicionales para Amazon Managed Workflows for Amazon AppFlow AWS App Runner, Amazon WorkSpaces Applications, Amazon AWS CloudFormation, Amazon CloudFront, Amazon CloudWatch AWS CodeArtifact AWS CodeCommit AWS Device Farm, Amazon Elastic Compute Cloud (Amazon EC2), Amazon Evidentemente, CloudWatch Amazon Forecast, ( AWS IoT IAM), AWS Ground Station Amazon AWS Identity and Access Management MemoryDB, Amazon AWS Network Manager Pinpoint AWS Panorama, Amazon Evident, Amazon Relational Database Service (Amazon R DS), Amazon Redshift y Amazon AI. SageMaker | 30 de marzo de 2023 |
| [AWSConfigRulesExecutionRole](#security-iam-awsmanpol-AWSConfigRulesExecutionRole)— comienza a realizar un seguimiento de los cambios de esta AWS Config política gestionada AWS | Esta política permite a AWS Lambda las funciones acceder a la AWS Config API y a las instantáneas de configuración que se AWS Config envían periódicamente a Amazon S3. Las funciones que evalúan los cambios de configuración de las reglas Lambda AWS personalizadas requieren este acceso. | 7 de marzo de 2023 |
| [AWSConfigRoleForOrganizations](#security-iam-awsmanpol-AWSConfigRoleForOrganizations)— AWS Config comienza a realizar un seguimiento de los cambios de esta política AWS gestionada | Esta política permite AWS Config realizar llamadas de solo lectura AWS Organizations APIs. | 7 de marzo de 2023 |
| [AWSConfigRemediationServiceRolePolicy](#security-iam-awsmanpol-AWSConfigRemediationServiceRolePolicy)— AWS Config comienza a rastrear los cambios de esta política gestionada AWS | Esta política permite AWS Config corregir `NON_COMPLIANT` los recursos en su nombre. | 7 de marzo de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir auditmanager:GetAccountStatus | Esta política ahora permite devolver el estado de registro de una cuenta en AWS Audit Manager. | 3 de marzo de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir auditmanager:GetAccountStatus | Esta política ahora permite devolver el estado de registro de una cuenta en AWS Audit Manager. | 3 de marzo de 2023 |
| [AWSConfigMultiAccountSetupPolicy](#security-iam-awsmanpol-AWSConfigMultiAccountSetupPolicy)— AWS Config comienza a realizar un seguimiento de los cambios de esta política AWS gestionada | Esta política permite llamar AWS Config a AWS los servicios e implementar AWS Config recursos en una organización con AWS Organizations. | 27 de febrero de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Esta política ahora admite permisos adicionales para Amazon Managed Workflows para Apache Airflow, AWS IoT Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer, Amazon Kinesis Video Streams AWS HealthLake, Amazon Application Recovery Controller (ARC), Amazon Elastic Compute Cloud ( AWS Device Farm Amazon EC2) Compute Cloud (Amazon EC2), Amazon Pinpoint AWS Identity and Access Management (IAM), Amazon y Amazon Logs. GuardDuty CloudWatch | 1 de febrero de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Esta política ahora admite permisos adicionales para Amazon Managed Workflows para Apache Airflow, AWS IoT Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer, Amazon Kinesis Video Streams AWS HealthLake, Amazon Application Recovery Controller (ARC), Amazon Elastic Compute Cloud ( AWS Device Farm Amazon EC2) Compute Cloud (Amazon EC2), Amazon Pinpoint AWS Identity and Access Management (IAM), Amazon y Amazon Logs. GuardDuty CloudWatch | 1 de febrero de 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy): actualizar config:DescribeConfigRules | Como práctica recomendada de seguridad, ahora esta política elimina el permiso amplio en el nivel de los recursos para `config:DescribeConfigRules`. | 12 de enero de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Esta política ahora admite permisos adicionales para Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud AWS DMS(Amazon EC2 AWS Glue) AWS Directory Service,, Amazon Lightsail AWS IoT,, Amazon Quick, AWS Elemental MediaPackage Amazon AWS Network Manager Application Recovery Controller (ARC), AWS Resource Access Manager Amazon Simple Storage Service (Amazon S3) y Amazon Timestream Timestream. | 15 de diciembre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Esta política ahora admite permisos adicionales para Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud AWS DMS(Amazon EC2 AWS Glue) AWS Directory Service,, Amazon Lightsail AWS IoT,, Amazon Quick, AWS Elemental MediaPackage Amazon AWS Network Manager Application Recovery Controller (ARC), AWS Resource Access Manager Amazon Simple Storage Service (Amazon S3) y Amazon Timestream Timestream. | 15 de diciembre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir cloudformation:ListStackResources and cloudformation:ListStacks | Esta política ahora otorga permiso para devolver descripciones de todos los recursos de una AWS CloudFormation pila específica y devolver la información resumida de las pilas cuyo estado coincida con el especificadoStackStatusFilter. | 7 de noviembre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir cloudformation:ListStackResources and cloudformation:ListStacks | Esta política ahora permite devolver las descripciones de todos los recursos de una AWS CloudFormation pila específica y devolver la información resumida de las pilas cuyo estado coincida con el especificado. StackStatusFilter | 7 de noviembre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Esta política ahora admite permisos adicionales para AWS Certificate Manager Amazon Managed Workflows for Apache Airflow, Amazon Keyspaces, AWS AppConfig Amazon AWS Amplify, Amazon Connect, Amazon Elastic Compute Cloud (Amazon EC2) Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon, Amazon Fraud Detector, EventBridge Amazon AWS Fault Injection Service, Amazon Servers, Amazon Location AWS IoT Service, FSx Amazon Lex GameLift , Amazon Lightsail, Amazon Pinpoint, Amazon Quick, Amazon Relational Database Service (Amazon OpsWorks) CloudWatch AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition, Amazon Route 53 Grupos de recursos de AWS, Amazon Simple Storage Service (Amazon S3) y. AWS Cloud Map AWS Security Token Service | 19 de octubre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Esta política ahora admite permisos adicionales para AWS Certificate Manager Amazon Managed Workflows for Apache Airflow, Amazon Keyspaces, AWS AppConfig Amazon AWS Amplify, Amazon Connect, Amazon Elastic Compute Cloud (Amazon EC2) Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon, Amazon Fraud Detector, EventBridge Amazon AWS Fault Injection Service, Amazon Servers, Amazon Location AWS IoT Service, FSx Amazon Lex GameLift , Amazon Lightsail, Amazon Pinpoint, Amazon Quick, Amazon Relational Database Service (Amazon OpsWorks) CloudWatch AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition, Amazon Route 53 Grupos de recursos de AWS, Amazon Simple Storage Service (Amazon S3) y. AWS Cloud Map AWS Security Token Service | 19 de octubre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir Glue::GetTable | Esta política ahora otorga permiso para recuperar la definición de AWS Glue tabla en un catálogo de datos para una tabla específica. | 14 de septiembre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir Glue::GetTable | Esta política ahora otorga permiso para recuperar la definición de AWS Glue tabla en un catálogo de datos para una tabla específica. | 14 de septiembre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Esta política ahora admite permisos adicionales para Amazon AppFlow, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon EventBridge Schemas, Amazon Fraud Detector, EventBridge Amazon Servers, Amazon FinSpace Amazon Interactive Video Service (Amazon IVS) GameLift , Amazon Managed Service para Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Storage Service (Amazon S3), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, y AWS Transfer Family. | 7 de septiembre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Esta política ahora admite permisos adicionales para Amazon AppFlow, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon EventBridge Schemas, Amazon Fraud Detector, EventBridge Amazon Servers, Amazon FinSpace Amazon Interactive Video Service (Amazon IVS) GameLift , Amazon Managed Service para Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Storage Service (Amazon S3), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation AWS License Manager AWS Resilience Hub AWS Signer AWS Transfer Family | 7 de septiembre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Esta política ahora admite permisos adicionales para Amazon Managed Workflows para Apache Airflow, AWS IoT Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer, Amazon Kinesis Video Streams AWS HealthLake, Amazon Application Recovery Controller (ARC), Amazon Elastic Compute Cloud ( AWS Device Farm Amazon EC2) Compute Cloud (Amazon EC2), Amazon Pinpoint AWS Identity and Access Management (IAM), Amazon y Amazon Logs. GuardDuty CloudWatch | 1 de febrero de 2023 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir airflow:ListTagsForResource, iot:ListCustomMetrics, iot:DescribeCustomMetric, appstream:DescribeDirectoryConfigs, appstream:ListTagsForResource, codeguru-reviewer:DescribeRepositoryAssociation, codeguru-reviewer:ListRepositoryAssociations, healthlake:ListFHIRDatastores, healthlake:DescribeFHIRDatastore, healthlake:ListTagsForResource, kinesisvideo:DescribeStream, kinesisvideo:ListStreams, kinesisvideo:ListTagsForStream, kinesisvideo:DescribeSignalingChannel, kinesisvideo:ListTagsForResource, kinesisvideo:ListSignalingChannels, route53-recovery-control-config:DescribeCluster, route53-recovery-control-config:DescribeRoutingControl, route53-recovery-control-config:DescribeSafetyRule, route53-recovery-control-config:ListClusters, route53-recovery-control-config:ListRoutingControls, route53-recovery-control-config:ListSafetyRules, devicefarm:GetTestGridProject, devicefarm:ListTestGridProjects, ec2:DescribeCapacityReservationFleets, ec2:DescribeIpamPools, ec2:DescribeIpams, ec2:GetInstanceTypesFromInstanceRequirement, mobiletargeting:GetApplicationSettings, mobiletargeting:ListTagsForResource, ecr:BatchGetRepositoryScanningConfiguration, iam:ListServerCertificates, guardduty:ListPublishingDestinations, guardduty:DescribePublishingDestination, logs:GetLogDelivery, and logs:ListLogDeliveries | Esta política ahora admite permisos adicionales para Amazon Managed Workflows para Apache Airflow, AWS IoT Amazon WorkSpaces Applications, Amazon CodeGuru Reviewer, Amazon Kinesis Video Streams AWS HealthLake, Amazon Application Recovery Controller (ARC), Amazon Elastic Compute Cloud ( AWS Device Farm Amazon EC2) Compute Cloud (Amazon EC2), Amazon Pinpoint AWS Identity and Access Management (IAM), Amazon y Amazon Logs. GuardDuty CloudWatch | 1 de febrero de 2023 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy): actualizar config:DescribeConfigRules | Como práctica recomendada de seguridad, ahora esta política elimina el permiso amplio en el nivel de los recursos para `config:DescribeConfigRules`. | 12 de enero de 2023 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, AWS Transfer Family devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Esta política ahora admite permisos adicionales para Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud AWS DMS(Amazon EC2 AWS Glue) AWS Directory Service,, Amazon Lightsail AWS IoT,, Amazon Quick, AWS Elemental MediaPackage Amazon AWS Network Manager Application Recovery Controller (ARC), AWS Resource Access Manager Amazon Simple Storage Service (Amazon S3) y Amazon Timestream Timestream. | 15 de diciembre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir APS:DescribeRuleGroupsNamespace, APS:DescribeWorkspace, APS:ListWorkspaces, auditmanager:GetAssessment, auditmanager:ListAssessments, devicefarm:GetNetworkProfile, devicefarm:GetProject, devicefarm:ListNetworkProfiles, devicefarm:ListTagsForResource, dms:DescribeEndpoints, ds:ListTagsForResource, ec2:DescribeTags, ec2:DescribeTrafficMirrorSessions, ec2:DescribeTrafficMirrorTargets, ec2:GetIpamPoolAllocations, ec2:GetIpamPoolCidrs, glue:GetMLTransform, glue:GetMLTransforms, glue:ListMLTransforms, iot:DescribeScheduledAudit, iot:ListScheduledAudits, ivs:GetChannel, lightsail:GetRelationalDatabases, mediapackage-vod:DescribePackagingConfiguration, mediapackage-vod:ListPackagingConfigurations, networkmanager:DescribeGlobalNetworks, networkmanager:GetTransitGatewayRegistrations, networkmanager:ListTagsForResource, quicksight:DescribeDashboard, quicksight:DescribeDashboardPermissions, quicksight:DescribeTemplate, quicksight:DescribeTemplatePermissions, quicksight:ListDashboards, quicksight:ListTemplates, ram:ListResources, route53-recovery-control-config:DescribeControlPanel, route53-recovery-control-config:ListControlPanels, route53-recovery-control-config:ListTagsForResource, route53resolver:GetResolverQueryLogConfigAssociation, route53resolver:ListResolverQueryLogConfigAssociations, s3:GetAccessPointForObjectLambda, s3:GetAccessPointPolicyForObjectLambda, s3:GetAccessPointPolicyStatusForObjectLambda, s3:GetMultiRegionAccessPoint, s3:ListAccessPointsForObjectLambda, s3:ListMultiRegionAccessPoints, timestream:DescribeEndpoints, transfer:DescribeConnector, transfer:ListConnectors, and transfer:ListTagsForResource | Esta política ahora admite permisos adicionales para Amazon Managed Service for Prometheus AWS Audit Manager,,, () AWS Device Farm AWS Database Migration Service , Amazon Elastic Compute Cloud AWS DMS(Amazon EC2 AWS Glue) AWS Directory Service,, Amazon Lightsail AWS IoT,, Amazon Quick, AWS Elemental MediaPackage Amazon AWS Network Manager Application Recovery Controller (ARC), AWS Resource Access Manager Amazon Simple Storage Service (Amazon S3) y Amazon Timestream Timestream. | 15 de diciembre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir cloudformation:ListStackResources and cloudformation:ListStacks | Esta política ahora otorga permiso para devolver descripciones de todos los recursos de una AWS CloudFormation pila específica y devolver la información resumida de las pilas cuyo estado coincida con el especificadoStackStatusFilter. | 7 de noviembre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir cloudformation:ListStackResources and cloudformation:ListStacks | Esta política ahora permite devolver las descripciones de todos los recursos de una AWS CloudFormation pila específica y devolver la información resumida de las pilas cuyo estado coincida con el especificado. StackStatusFilter | 7 de noviembre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Esta política ahora admite permisos adicionales para AWS Certificate Manager Amazon Managed Workflows for Apache Airflow, Amazon Keyspaces, AWS AppConfig Amazon AWS Amplify, Amazon Connect, Amazon Elastic Compute Cloud (Amazon EC2) Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon, Amazon Fraud Detector, EventBridge Amazon AWS Fault Injection Service, Amazon Servers, Amazon Location AWS IoT Service, FSx Amazon Lex GameLift , Amazon Lightsail, Amazon Pinpoint, Amazon Quick, Amazon Relational Database Service (Amazon OpsWorks) CloudWatch AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition, Amazon Route 53 Grupos de recursos de AWS, Amazon Simple Storage Service (Amazon S3) y. AWS Cloud Map AWS Security Token Service | 19 de octubre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir acm-pca:GetCertificateAuthorityCsr, acm-pca:ListCertificateAuthorities, acm-pca:ListTags, airflow:GetEnvironment, airflow:ListEnvironments, amplifyuibuilder:ListThemes, appconfig:ListConfigurationProfiles, appconfig:ListDeployments, appconfig:ListDeploymentStrategies, appconfig:ListEnvironments, appconfig:ListHostedConfigurationVersions, cassandra:Select, cloudwatch:DescribeAnomalyDetectors, cloudwatch:GetDashboard, cloudwatch:ListDashboards, connect:DescribePhoneNumber, connect:ListPhoneNumbers, connect:ListPhoneNumbersV2, connect:SearchAvailablePhoneNumbers, databrew:DescribeDataset, databrew:DescribeJob, databrew:DescribeProject, databrew:DescribeRecipe, databrew:DescribeRuleset, databrew:DescribeSchedule, databrew:ListDatasets, databrew:ListJobs, databrew:ListProjects, databrew:ListRecipes, databrew:ListRecipeVersions, databrew:ListRulesets, databrew:ListSchedules, ec2:DescribeRouteTables, eks:DescribeAddon, eks:DescribeIdentityProviderConfig, eks:ListAddons, eks:ListIdentityProviderConfigs, events:DescribeConnection, events:ListApiDestinations, events:ListConnections, fis:GetExperimentTemplate, fis:ListExperimentTemplates, frauddetector:GetRules, fsx:DescribeBackups, fsx:DescribeSnapshots, fsx:DescribeStorageVirtualMachines, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeVpcPeeringConnections, geo:ListGeofenceCollections, geo:ListPlaceIndexes, geo:ListRouteCalculators, geo:ListTrackers, iot:DescribeAccountAuditConfiguration, iot:DescribeAuthorizer, iot:DescribeDomainConfiguration, iot:DescribeMitigationAction, iot:ListAuthorizers, iot:ListDomainConfigurations, iot:ListMitigationActions, iotsitewise:DescribeAssetModel, iotsitewise:DescribeDashboard, iotsitewise:DescribeGateway, iotsitewise:DescribePortal, iotsitewise:DescribeProject, iotsitewise:ListAssetModels, iotsitewise:ListDashboards, iotsitewise:ListGateways, iotsitewise:ListPortals, iotsitewise:ListProjectAssets, iotsitewise:ListProjects, iotsitewise:ListTagsForResource, iotwireless:GetServiceProfile, iotwireless:GetWirelessDevice, iotwireless:GetWirelessGatewayTaskDefinition, iotwireless:ListServiceProfiles, iotwireless:ListTagsForResource, iotwireless:ListWirelessDevices, iotwireless:ListWirelessGatewayTaskDefinitions, lex:DescribeBotVersion, lex:ListBotVersions, lightsail:GetContainerServices, lightsail:GetDistributions, lightsail:GetRelationalDatabase, lightsail:GetRelationalDatabaseParameters, mobiletargeting:GetApps, mobiletargeting:GetCampaign, mobiletargeting:GetSegment, mobiletargeting:GetSegments, opsworks:DescribeInstances, opsworks:DescribeTimeBasedAutoScaling, opsworks:DescribeVolumes, panorama:DescribeApplicationInstance, panorama:DescribeApplicationInstanceDetails, panorama:DescribePackage, panorama:DescribePackageVersion, panorama:ListApplicationInstances, panorama:ListPackages, quicksight:ListDataSources, ram:ListResourceSharePermissions, rds:DescribeDBProxies, rds:DescribeGlobalClusters, rekognition:ListStreamProcessors, resource-groups:GetGroup, resource-groups:GetGroupConfiguration, resource-groups:GetGroupQuery, resource-groups:GetTags, resource-groups:ListGroupResources, resource-groups:ListGroups, robomaker:ListRobotApplications, robomaker:ListSimulationApplications, route53resolver:GetResolverDnssecConfig, route53resolver:ListResolverDnssecConfigs, s3:ListStorageLensConfigurations, schemas:GetResourcePolicy, servicediscovery:ListInstances, sts:GetCallerIdentity, synthetics:GetGroup, synthetics:ListAssociatedGroups, synthetics:ListGroupResources, and synthetics:ListGroups | Esta política ahora admite permisos adicionales para AWS Certificate Manager Amazon Managed Workflows for Apache Airflow, Amazon Keyspaces, AWS AppConfig Amazon AWS Amplify, Amazon Connect, Amazon Elastic Compute Cloud (Amazon EC2) Compute Cloud (Amazon EC2) AWS Glue DataBrew, Amazon Elastic Kubernetes Service (Amazon EKS), Amazon, Amazon Fraud Detector, EventBridge Amazon AWS Fault Injection Service, Amazon Servers, Amazon Location AWS IoT Service, FSx Amazon Lex GameLift , Amazon Lightsail, Amazon Pinpoint, Amazon Quick, Amazon Relational Database Service (Amazon OpsWorks) CloudWatch AWS Panorama AWS Resource Access Manager RDS), Amazon AWS RoboMaker Rekognition, Amazon Route 53 Grupos de recursos de AWS, Amazon Simple Storage Service (Amazon S3) y. AWS Cloud Map AWS Security Token Service | 19 de octubre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir Glue::GetTable | Esta política ahora otorga permiso para recuperar la definición de AWS Glue tabla en un catálogo de datos para una tabla específica. | 14 de septiembre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir Glue::GetTable | Esta política ahora otorga permiso para recuperar la definición de AWS Glue tabla en un catálogo de datos para una tabla específica. | 14 de septiembre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorFilters, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Esta política ahora admite permisos adicionales para Amazon AppFlow, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon EventBridge Schemas, Amazon Fraud Detector, EventBridge Amazon Servers, Amazon FinSpace Amazon Interactive Video Service (Amazon IVS) GameLift , Amazon Managed Service para Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Storage Service (Amazon S3), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation, AWS License Manager AWS Resilience Hub, AWS Signer, y AWS Transfer Family. | 7 de septiembre de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir appconfig:ListApplications, appflow:DescribeConnectorProfiles, appsync:GetApiCache, autoscaling-plans:DescribeScalingPlanResources, autoscaling-plans:DescribeScalingPlans, autoscaling-plans:GetScalingPlanResourceForecastData, autoscaling:DescribeWarmPool, backup:DescribeFramework, backup:DescribeReportPlan, backup:ListFrameworks, backup:ListReportPlans, budgets:DescribeBudgetAction, budgets:DescribeBudgetActionsForAccount, budgets:DescribeBudgetActionsForBudget, budgets:ViewBudget, ce:GetAnomalyMonitors, ce:GetAnomalySubscriptions, cloud9:DescribeEnvironmentMemberships, cloud9:DescribeEnvironments, cloud9:ListEnvironments, cloud9:ListTagsForResource, cloudwatch:GetMetricStream, cloudwatch:ListMetricStreams, datasync:DescribeLocationFsxWindows, devops-guru:GetResourceCollection, ds:DescribeDirectories, ec2:DescribeTrafficMirrorTargets, ec2:GetNetworkInsightsAccessScopeAnalysisFindings, ec2:GetNetworkInsightsAccessScopeContent, elasticmapreduce:DescribeStudio, elasticmapreduce:GetStudioSessionMapping, elasticmapreduce:ListStudios, elasticmapreduce:ListStudioSessionMappings, events:DescribeEndpoint, events:DescribeEventBus, events:DescribeRule, events:ListArchives, events:ListEndpoints, events:ListEventBuses, events:ListRules, events:ListTagsForResource, events:ListTargetsByRule, finspace:GetEnvironment, finspace:ListEnvironments, frauddetector:GetDetectors, frauddetector:GetDetectorVersion, frauddetector:GetEntityTypes, frauddetector:GetEventTypes, frauddetector:GetExternalModels, frauddetector:GetLabels, frauddetector:GetModels, frauddetector:GetOutcomes, frauddetector:GetVariables, frauddetector:ListTagsForResource, gamelift:DescribeAlias, gamelift:DescribeBuild, gamelift:DescribeFleetAttributes, gamelift:DescribeFleetCapacity, gamelift:DescribeFleetLocationAttributes, gamelift:DescribeFleetLocationCapacity, gamelift:DescribeFleetPortSettings, gamelift:DescribeGameServerGroup, gamelift:DescribeGameSessionQueues, gamelift:DescribeMatchmakingConfigurations, gamelift:DescribeMatchmakingRuleSets, gamelift:DescribeRuntimeConfiguration, gamelift:DescribeScript, gamelift:DescribeVpcPeeringAuthorizations, gamelift:ListAliases, gamelift:ListBuilds, gamelift:ListFleets, gamelift:ListGameServerGroups, gamelift:ListScripts, gamelift:ListTagsForResource, geo:ListMaps, glue:GetClassifier, glue:GetClassifiers, imagebuilder:GetContainerRecipe, imagebuilder:GetImage, imagebuilder:GetImagePipeline, imagebuilder:GetImageRecipe, imagebuilder:ListContainerRecipes, imagebuilder:ListImageBuildVersions, imagebuilder:ListImagePipelines, imagebuilder:ListImageRecipes, imagebuilder:ListImages, iot:DescribeCertificate, iot:DescribeDimension, iot:DescribeRoleAlias, iot:DescribeSecurityProfile, iot:GetPolicy, iot:GetTopicRule, iot:GetTopicRuleDestination, iot:ListCertificates, iot:ListDimensions, iot:ListPolicies, iot:ListRoleAliases, iot:ListSecurityProfiles, iot:ListSecurityProfilesForTarget, iot:ListTagsForResource, iot:ListTargetsForSecurityProfile, iot:ListTopicRuleDestinations, iot:ListTopicRules, iot:ListV2LoggingLevels, iot:ValidateSecurityProfileBehaviors, iotanalytics:DescribeChannel, iotanalytics:DescribeDataset, iotanalytics:DescribeDatastore, iotanalytics:DescribePipeline, iotanalytics:ListChannels, iotanalytics:ListDatasets, iotanalytics:ListDatastores, iotanalytics:ListPipelines, iotanalytics:ListTagsForResource, iotevents:DescribeAlarmModel, iotevents:DescribeDetectorModel, iotevents:DescribeInput, iotevents:ListAlarmModels, iotevents:ListDetectorModels, iotevents:ListInputs, iotevents:ListTagsForResource, iotsitewise:DescribeAccessPolicy, iotsitewise:DescribeAsset, iotsitewise:ListAccessPolicies, iotsitewise:ListAssets, iottwinmaker:GetEntity, iottwinmaker:GetScene, iottwinmaker:GetWorkspace, iottwinmaker:ListEntities, iottwinmaker:ListScenes, iottwinmaker:ListTagsForResource, iottwinmaker:ListWorkspaces, ivs:GetPlaybackKeyPair, ivs:GetRecordingConfiguration, ivs:GetStreamKey, ivs:ListChannels, ivs:ListPlaybackKeyPairs, ivs:ListRecordingConfigurations, ivs:ListStreamKeys, ivs:ListTagsForResource, kinesisanalytics:ListApplications, lakeformation:DescribeResource, lakeformation:GetDataLakeSettings, lakeformation:ListPermissions, lakeformation:ListResources, lex:DescribeBot, lex:DescribeBotAlias, lex:DescribeResourcePolicy, lex:ListBotAliases, lex:ListBotLocales, lex:ListBots, lex:ListTagsForResource, license-manager:GetGrant, license-manager:GetLicense, license-manager:ListDistributedGrants, license-manager:ListLicenses, license-manager:ListReceivedGrants, lightsail:GetAlarms, lightsail:GetBuckets, lightsail:GetCertificates, lightsail:GetDisk, lightsail:GetDisks, lightsail:GetInstance, lightsail:GetInstances, lightsail:GetKeyPair, lightsail:GetLoadBalancer, lightsail:GetLoadBalancers, lightsail:GetLoadBalancerTlsCertificates, lightsail:GetStaticIp, lightsail:GetStaticIps, lookoutequipment:DescribeInferenceScheduler, lookoutequipment:ListTagsForResource, lookoutmetrics:DescribeAlert, lookoutmetrics:DescribeAnomalyDetector, lookoutmetrics:ListAlerts, lookoutmetrics:ListAnomalyDetectors, lookoutmetrics:ListMetricSets, lookoutmetrics:ListTagsForResource, lookoutvision:DescribeProject, lookoutvision:ListProjects, managedblockchain:GetMember, managedblockchain:GetNetwork, managedblockchain:GetNode, managedblockchain:ListInvitations, managedblockchain:ListMembers, managedblockchain:ListNodes, mediapackage-vod:DescribePackagingGroup, mediapackage-vod:ListPackagingGroups, mediapackage-vod:ListTagsForResource, mobiletargeting:GetInAppTemplate, mobiletargeting:ListTemplates, mq:DescribeBroker, mq:ListBrokers, nimble:GetLaunchProfile, nimble:GetLaunchProfileDetails, nimble:GetStreamingImage, nimble:GetStudio, nimble:GetStudioComponent, nimble:ListLaunchProfiles, nimble:ListStreamingImages, nimble:ListStudioComponents, nimble:ListStudios, profile:GetDomain, profile:GetIntegration, profile:GetProfileObjectType, profile:ListDomains, profile:ListIntegrations, profile:ListProfileObjectTypes, profile:ListTagsForResource, quicksight:DescribeAnalysis, quicksight:DescribeAnalysisPermissions, quicksight:DescribeDataSet, quicksight:DescribeDataSetPermissions, quicksight:DescribeTheme, quicksight:DescribeThemePermissions, quicksight:ListAnalyses, quicksight:ListDataSets, quicksight:ListThemes, resiliencehub:DescribeApp, resiliencehub:DescribeAppVersionTemplate, resiliencehub:DescribeResiliencyPolicy, resiliencehub:ListApps, resiliencehub:ListAppVersionResourceMappings, resiliencehub:ListResiliencyPolicies, route53-recovery-readiness:GetCell, route53-recovery-readiness:GetReadinessCheck, route53-recovery-readiness:GetRecoveryGroup, route53-recovery-readiness:GetResourceSet, route53-recovery-readiness:ListCells, route53-recovery-readiness:ListReadinessChecks, route53-recovery-readiness:ListRecoveryGroups, route53-recovery-readiness:ListResourceSets, route53resolver:GetFirewallDomainList, route53resolver:GetFirewallRuleGroup, route53resolver:GetFirewallRuleGroupAssociation, route53resolver:GetResolverQueryLogConfig, route53resolver:ListFirewallDomainLists, route53resolver:ListFirewallDomains, route53resolver:ListFirewallRuleGroupAssociations, route53resolver:ListFirewallRuleGroups, route53resolver:ListFirewallRules, route53resolver:ListResolverQueryLogConfigs, rum:GetAppMonitor, rum:GetAppMonitorData, rum:ListAppMonitors, rum:ListTagsForResource, s3-outposts:GetAccessPoint, s3-outposts:GetAccessPointPolicy, s3-outposts:GetBucket, s3-outposts:GetBucketPolicy, s3-outposts:GetBucketTagging, s3-outposts:GetLifecycleConfiguration, s3-outposts:ListAccessPoints, s3-outposts:ListEndpoints, s3-outposts:ListRegionalBuckets, schemas:DescribeDiscoverer, schemas:DescribeRegistry, schemas:DescribeSchema, schemas:ListDiscoverers, schemas:ListRegistries, schemas:ListSchemas, sdb:GetAttributes, sdb:ListDomains, ses:ListEmailTemplates, ses:ListReceiptFilters, ses:ListReceiptRuleSets, ses:ListTemplates, signer:GetSigningProfile, signer:ListProfilePermissions, signer:ListSigningProfiles, synthetics:DescribeCanaries, synthetics:DescribeCanariesLastRun, synthetics:DescribeRuntimeVersions, synthetics:GetCanary, synthetics:GetCanaryRuns, synthetics:ListTagsForResource, timestream:DescribeDatabase, timestream:DescribeTable, timestream:ListDatabases, timestream:ListTables, timestream:ListTagsForResource, transfer:DescribeServer, transfer:DescribeUser, transfer:DescribeWorkflow, transfer:ListServers, transfer:ListUsers, transfer:ListWorkflows, voiceid:DescribeDomain, and voiceid:ListTagsForResource | Esta política ahora admite permisos adicionales para Amazon AppFlow, Amazon CloudWatch RUM CloudWatch, Amazon CloudWatch Synthetics, Amazon Connect Customer Profiles, Amazon Connect Voice ID, Amazon DevOps Guru, Amazon Elastic Compute Cloud (Amazon EC2), Amazon EC2 Auto Scaling, Amazon EMR, Amazon, Amazon EventBridge Schemas, Amazon Fraud Detector, EventBridge Amazon Servers, Amazon FinSpace Amazon Interactive Video Service (Amazon IVS) GameLift , Amazon Managed Service para Apache Flink, EC2 Image Builder, Amazon Lex, Amazon Lightsail, Amazon Location Service , Amazon Lookout for Equipment, Amazon Lookout for Metrics, Amazon Lookout for Vision, Amazon Managed Blockchain, Amazon MQ, Amazon Nimble StudioAmazon Pinpoint, Amazon Quick, Amazon Application Recovery Controller (ARC), Amazon Simple Storage Service (Amazon S3), Amazon Simple Amazon Route 53 Resolver Storage Service (Amazon S3), Amazon SimpleDB, Amazon Simple Email Service (Amazon SES), Amazon Timestream,,,,,,,,,,,,,,,,,, AWS AppConfig AWS AppSync AWS Auto Scaling AWS Backup AWS Budgets AWS Cost Explorer AWS Cloud9 AWS Directory Service AWS DataSync AWS Elemental MediaPackage AWS Glue AWS IoT AWS IoT Analytics AWS IoT Events AWS IoT SiteWise AWS IoT TwinMaker AWS Lake Formation AWS License Manager AWS Resilience Hub AWS Signer AWS Transfer Family | 7 de septiembre de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Esta política ahora otorga permiso para devolver una lista de AWS DataSync agentes, ubicaciones de DataSync origen y destino y DataSync tareas en una Cuenta de AWS; enumerar información resumida sobre los AWS Cloud Map espacios de nombres y servicios que están asociados a uno o más espacios de nombres específicos en una Cuenta de AWS; y enumerar todas las listas de contactos de Amazon Simple Email Service (Amazon SES) disponibles en. Cuenta de AWS | 22 de agosto de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir datasync:ListAgents, datasync:ListLocations, datasync:ListTasks, servicediscovery:ListNamespaces, servicediscovery:ListServices, and ses:ListContactLists | Esta política ahora otorga permiso para devolver una lista de AWS DataSync agentes, ubicaciones de DataSync origen y destino y DataSync tareas en una Cuenta de AWS; enumerar información resumida sobre los AWS Cloud Map espacios de nombres y servicios que están asociados a uno o más espacios de nombres específicos en una Cuenta de AWS; y enumerar todas las listas de contactos de Amazon Simple Email Service (Amazon SES) disponibles en. Cuenta de AWS | 22 de agosto de 2022 |
| [ConfigConformsServiceRolePolicy](#security-iam-awsmanpol-ConfigConformsServiceRolePolicy): añadir cloudwatch:PutMetricData | Esta política ahora otorga permiso para publicar puntos de datos métricos en Amazon CloudWatch. | 25 de julio de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Esta política ahora admite permisos adicionales para Amazon Elastic Container Service (Amazon ECS), Amazon, Amazon, Amazon ElastiCache EventBridge, Amazon Managed Service for Apache Flink FSx, Amazon Location Service, Amazon Managed Streaming for Apache Kafka, Amazon Quick, Amazon Rekognition, Amazon Simple Storage Service ( AWS RoboMaker Amazon S3) S3), Amazon Simple Email Service (Amazon SES),,,,,,, (IAM Identity Center AWS Amplify AWS Firewall Manager) AWS AppConfig AWS Glue AWS IAM Identity Center , EC2 Image Builder y Elastic Load Balancing. AWS AppSync AWS Billing Conductor AWS DataSync | 15 de julio de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir amplifyuibuilder:ExportThemes, amplifyuibuilder:GetTheme, appconfig:GetApplication, appconfig:GetApplication, appconfig:GetConfigurationProfile, appconfig:GetConfigurationProfile, appconfig:GetDeployment, appconfig:GetDeploymentStrategy, appconfig:GetEnvironment, appconfig:GetHostedConfigurationVersion, appconfig:ListTagsForResource, appsync:GetGraphqlApi, appsync:ListGraphqlApis, billingconductor: ListPricingRulesAssociatedToPricingPlan, billingconductor:ListAccountAssociations, billingconductor:ListBillingGroups, billingconductor:ListCustomLineItems, billingconductor:ListPricingPlans, billingconductor:ListPricingRules, billingconductor:ListTagsForResource, datasync:DescribeAgent, datasync:DescribeLocationEfs, datasync:DescribeLocationFsxLustre, datasync:DescribeLocationHdfs, datasync:DescribeLocationNfs, datasync:DescribeLocationObjectStorage, datasync:DescribeLocationS3, datasync:DescribeLocationSmb, datasync:DescribeTask, datasync:ListTagsForResource, ecr:DescribePullThroughCacheRules, ecr:DescribeRegistry, ecr:GetRegistryPolicy, elasticache:DescribeCacheParameters, elasticloadbalancing:DescribeListenerCertificates, elasticloadbalancing:DescribeTargetGroupAttributes, elasticloadbalancing:DescribeTargetGroups, elasticloadbalancing:DescribeTargetHealth, events:DescribeApiDestination, events:DescribeArchive, fms:GetNotificationChannel, fms:GetPolicy, fms:ListPolicies, fms:ListTagsForResource, fsx:DescribeVolumes, geo:DescribeGeofenceCollection, geo:DescribeMap, geo:DescribePlaceIndex, geo:DescribeRouteCalculator, geo:DescribeTracker, geo:ListTrackerConsumers, glue:BatchGetJobs, glue:BatchGetWorkflows, glue:GetCrawler, glue:GetCrawlers, glue:GetJob, glue:GetJobs, glue:GetWorkflow, imagebuilder: GetComponent, imagebuilder: ListComponentBuildVersions, imagebuilder: ListComponents, imagebuilder:GetDistributionConfiguration, imagebuilder:GetInfrastructureConfiguration, imagebuilder:ListDistributionConfigurations, imagebuilder:ListInfrastructureConfigurations, kafka:DescribeClusterV2, kafka:ListClustersV2, kinesisanalytics:DescribeApplication, kinesisanalytics:ListTagsForResource, quicksight:DescribeDataSource, quicksight:DescribeDataSourcePermissions, quicksight:ListTagsForResource, rekognition:DescribeStreamProcessor, rekognition:ListTagsForResource, robomaker:DescribeRobotApplication, robomaker:DescribeSimulationApplication, s3:GetStorageLensConfiguration, s3:GetStorageLensConfigurationTagging, servicediscovery:GetInstance, servicediscovery:GetNamespace, servicediscovery:GetService, servicediscovery:ListTagsForResource, ses:DescribeReceiptRule, ses:DescribeReceiptRuleSet, ses:GetContactList, ses:GetEmailTemplate, ses:GetTemplate, and sso:GetInlinePolicyForPermissionSet | Esta política ahora admite permisos adicionales para Amazon Elastic Container Service (Amazon ECS), Amazon, Amazon, Amazon ElastiCache EventBridge, Amazon Managed Service for Apache Flink FSx, Amazon Location Service, Amazon Managed Streaming for Apache Kafka, Amazon Quick, Amazon Rekognition, Amazon Simple Storage Service ( AWS RoboMaker Amazon S3) S3), Amazon Simple Email Service (Amazon SES),,,,,,, (IAM Identity Center AWS Amplify AWS Firewall Manager) AWS AppConfig AWS Glue AWS IAM Identity Center , EC2 Image Builder y Elastic Load Balancing. AWS AppSync AWS Billing Conductor AWS DataSync | 15 de julio de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Esta política ahora otorga permiso para obtener un catálogo de datos de Amazon Athena específico, enumerar los catálogos de datos de Athena en un recurso y enumerar las etiquetas asociadas a un Cuenta de AWS grupo de trabajo o catálogo de datos de Athena; para obtener una lista de gráficos de comportamiento de Amazon Detective y etiquetas de lista para un gráfico de comportamiento de Detective; obtener una lista de metadatos de recursos para una lista determinada de nombres de puntos de enlace de desarrollo, obtener información sobre un punto final de AWS Glue desarrollo específico, obtener todo el AWS Glue AWS Glue desarrollo puntos finales en un, recuperan una seguridad específica Cuenta de AWS AWS Glue configuración, obtener todas las configuraciones de AWS Glue seguridad, obtener una lista de etiquetas asociadas a un AWS Glue recurso, obtener información sobre un AWS Glue grupo de trabajo con el nombre especificado, recuperar los nombres de todos los recursos del AWS Glue rastreador de una AWS cuenta, obtener los nombres de todos los AWS Glue `DevEndpoint` recursos de una Cuenta de AWS, enumerar los nombres de todos los recursos de AWS Glue trabajo en una Cuenta de AWS, obtener detalles sobre las cuentas de los AWS Glue miembros, enumerar los nombres de los AWS Glue flujos de trabajo creados en una cuenta y enumerar AWS Glue los grupos de trabajo disponibles para una cuenta; recuperar detalles sobre un GuardDuty filtro de Amazon, recuperar un GuardDuty IPSet, recuperar cuentas de GuardDuty miembros, obtener una lista de GuardDuty filtros, obtener el GuardDuty servicio, recuperar las etiquetas IPSets del Servicio y obtener el ThreatIntelSets del GuardDuty GuardDuty servicio; obtener el estado actual y los ajustes de configuración de una cuenta de Amazon Macie; recuperar el recurso y las asociaciones principales para AWS Resource Access Manager (AWS RAM) recursos compartidos y recuperar detalles sobre el recurso GuardDuty ThreatIntelSet AWS RAM shares; para obtener información sobre un conjunto de configuraciones existente de Amazon Simple Email Service (Amazon SES), obtener una lista de los destinos de eventos que están asociados a un conjunto de configuraciones de Amazon SES y una lista de todos los conjuntos de configuraciones asociados a una cuenta de Amazon SES; y para obtener una lista de los atributos del directorio de Identity Center, obtener los detalles de AWS IAM Identity Center un conjunto de permisos, obtener la política gestionada de IAM que se adjunta a una identidad de IAM específica Centrar el conjunto de permisos, obtener los permisos establecidos para una instancia del IAM Identity Center y obtener etiquetas para la identidad de IAM Recursos del centro. | 31 de mayo de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir athena:GetDataCatalog, athena:ListDataCatalogs, athena:ListTagsForResource, detective:ListGraphs, detective:ListTagsForResource, glue:BatchGetDevEndpoints, glue:GetDevEndpoint, glue:GetDevEndpoints, glue:GetSecurityConfiguration, glue:GetSecurityConfigurations, glue:GetTags glue:GetWorkGroup, glue:ListCrawlers, glue:ListDevEndpoints, glue:ListJobs, glue:ListMembers, glue:ListWorkflows, glue:ListWorkGroups, guardduty:GetFilter, guardduty:GetIPSet, guardduty:GetThreatIntelSet, guardduty:GetMembers, guardduty:ListFilters, guardduty:ListIPSets, guardduty:ListTagsForResource, guardduty:ListThreatIntelSets, macie:GetMacieSession, ram:GetResourceShareAssociations, ram:GetResourceShares, ses:GetConfigurationSet, ses:GetConfigurationSetEventDestinations, ses:ListConfigurationSets, sso:DescribeInstanceAccessControlAttributeConfiguration, sso:DescribePermissionSet, sso:ListManagedPoliciesInPermissionSet, sso:ListPermissionSets, and sso:ListTagsForResource | Esta política ahora otorga permiso para obtener un catálogo de datos de Amazon Athena específico, enumerar los catálogos de datos de Athena en un recurso y enumerar las etiquetas asociadas a un Cuenta de AWS grupo de trabajo o catálogo de datos de Athena; para obtener una lista de gráficos de comportamiento de Amazon Detective y etiquetas de lista para un gráfico de comportamiento de Detective; obtener una lista de metadatos de recursos para una lista determinada de nombres de puntos de enlace de desarrollo, obtener información sobre un punto final de AWS Glue desarrollo específico, obtener todo el AWS Glue AWS Glue desarrollo puntos finales en un, recuperan una seguridad específica Cuenta de AWS AWS Glue configuración, obtener todas las configuraciones de AWS Glue seguridad, obtener una lista de etiquetas asociadas a un AWS Glue recurso, obtener información sobre un AWS Glue grupo de trabajo con el nombre especificado, recuperar los nombres de todos los recursos del AWS Glue rastreador de una AWS cuenta, obtener los nombres de todos los AWS Glue `DevEndpoint` recursos de una Cuenta de AWS, enumerar los nombres de todos los recursos de AWS Glue trabajo en una Cuenta de AWS, obtener detalles sobre las cuentas de los AWS Glue miembros, enumerar los nombres de los AWS Glue flujos de trabajo creados en una cuenta y enumerar AWS Glue los grupos de trabajo disponibles para una cuenta; recuperar detalles sobre un GuardDuty filtro de Amazon, recuperar un GuardDuty IPSet, recuperar cuentas de GuardDuty miembros, obtener una lista de GuardDuty filtros, obtener el GuardDuty servicio, recuperar las etiquetas IPSets del Servicio y obtener el ThreatIntelSets del GuardDuty GuardDuty servicio; obtener el estado actual y los ajustes de configuración de una cuenta de Amazon Macie; recuperar el recurso y las asociaciones principales para AWS Resource Access Manager (AWS RAM) recursos compartidos y recuperar detalles sobre el recurso GuardDuty ThreatIntelSet AWS RAM shares; para obtener información sobre un conjunto de configuraciones existente de Amazon Simple Email Service (Amazon SES), obtener una lista de los destinos de eventos que están asociados a un conjunto de configuraciones de Amazon SES y una lista de todos los conjuntos de configuraciones asociados a una cuenta de Amazon SES; y para obtener una lista de los atributos del directorio de Identity Center, obtener los detalles de AWS IAM Identity Center un conjunto de permisos, obtener la política gestionada de IAM que se adjunta a una identidad de IAM específica Centrar el conjunto de permisos, obtener los permisos establecidos para una instancia del IAM Identity Center y obtener etiquetas para la identidad de IAM Recursos del centro. | 31 de mayo de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Esta política ahora otorga permiso para obtener información sobre todos los almacenes de datos de AWS CloudTrail eventos (EDS) o sobre uno específico, obtener información sobre todos o un AWS CloudFormation recurso específico, obtener una lista de un grupo de parámetros o un grupo de subredes de DynamoDB Accelerator (DAX), obtener información AWS Database Migration Service sobre AWS DMS() las tareas de replicación de su cuenta en la región actual a la que se está accediendo y obtener una lista de todas las políticas de un tipo específico. AWS Organizations | 7 de abril de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir cloudformation:GetResource, cloudformation:ListResources, cloudtrail:GetEventDataStore, cloudtrail:ListEventDataStores, dax:DescribeParameterGroups, dax:DescribeParameters, dax:DescribeSubnetGroups, DMS:DescribeReplicationTasks, and organizations:ListPolicies | Esta política ahora otorga permiso para obtener información sobre todos los almacenes de datos de AWS CloudTrail eventos (EDS) o sobre uno específico, obtener información sobre todos o un AWS CloudFormation recurso específico, obtener una lista de un grupo de parámetros o un grupo de subredes de DynamoDB Accelerator (DAX), obtener información AWS Database Migration Service sobre AWS DMS() las tareas de replicación de su cuenta en la región actual a la que se está accediendo y obtener una lista de todas las políticas de un tipo específico. AWS Organizations | 7 de abril de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Esta política ahora admite permisos adicionales para DynamoDB Accelerator AWS Backup AWS Batch, Amazon DynamoDB, AWS Database Migration Service Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon, Amazon, Amazon, Amazon, Amazon Relational Database Service, V2 y FSx GuardDuty Amazon AWS Key Management Service. AWS OpsWorks AWS WAF WorkSpaces | 14 de marzo de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir backup-gateway:ListTagsForResource, backup-gateway:ListVirtualMachines, batch:DescribeComputeEnvironments, batch:DescribeJobQueues, batch:ListTagsForResource, dax:ListTags, dms:DescribeCertificates, dynamodb:DescribeGlobalTable, dynamodb:DescribeGlobalTableSettings, ec2:DescribeClientVpnAuthorizationRules, ec2:DescribeClientVpnEndpoints, ec2:DescribeDhcpOptions, ec2:DescribeFleets, ec2:DescribeNetworkAcls, ec2:DescribePlacementGroups, ec2:DescribeSpotFleetRequests, ec2:DescribeVolumeAttribute, ec2:DescribeVolumes, eks:DescribeFargateProfile, eks:ListFargateProfiles, eks:ListTagsForResource, fsx:ListTagsForResource, guardduty:ListOrganizationAdminAccounts, kms:ListAliases, opsworks:DescribeLayers, opsworks:DescribeStacks, opsworks:ListTags, rds:DescribeDBClusterParameterGroups, rds:DescribeDBClusterParameters, states:DescribeActivity, states:ListActivities, wafv2:GetRuleGroup, wafv2:ListRuleGroups, wafv2:ListTagsForResource, workspaces:DescribeConnectionAliases, workspaces:DescribeTags, and workspaces:DescribeWorkspaces | Esta política ahora admite permisos adicionales para DynamoDB Accelerator AWS Backup AWS Batch, Amazon DynamoDB, AWS Database Migration Service Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service, Amazon, Amazon, Amazon, Amazon, Amazon, Amazon Relational Database Service, V2 y FSx GuardDuty Amazon AWS Key Management Service. AWS OpsWorks AWS WAF WorkSpaces | 14 de marzo de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Esta política ahora otorga permiso para obtener detalles sobre los entornos de Elastic Beanstalk y una descripción de la configuración del conjunto de configuraciones de Elastic Beanstalk especificado, obtener un mapa o las versiones de Elasticsearch, describir los grupos de opciones OpenSearch de Amazon RDS disponibles para una base de datos y obtener información sobre una configuración de implementación. CodeDeploy Esta política ahora también otorga permiso para recuperar el contacto alternativo especificado adjunto a una Cuenta de AWS, recuperar información sobre una AWS Organizations política, recuperar una política de repositorio de Amazon ECR, recuperar información sobre una AWS Config regla archivada, recuperar una lista de familias de definiciones de tareas de Amazon ECS, enumerar las unidades organizativas raíz o principal (OUs) de la OU o cuenta secundaria especificada y enumerar las políticas que se adjuntan a la raíz, unidad organizativa o cuenta de destino especificada. | 10 de febrero de 2022 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir elasticbeanstalk:DescribeEnvironments, elasticbeanstalk:DescribeConfigurationSettings, account:GetAlternateContact, organizations:DescribePolicy, organizations:ListParents, organizations:ListPoliciesForTarget, es:GetCompatibleElasticsearchVersions, rds:DescribeOptionGroups, rds:DescribeOptionGroups, es:GetCompatibleVersions, codedeploy:GetDeploymentConfig, ecr-public:GetRepositoryPolicy, access-analyzer:GetArchiveRule, and ecs:ListTaskDefinitionFamilies | Esta política ahora otorga permiso para obtener detalles sobre los entornos de Elastic Beanstalk y una descripción de la configuración del conjunto de configuraciones de Elastic Beanstalk especificado, obtener un mapa o las versiones de Elasticsearch, describir los grupos de opciones OpenSearch de Amazon RDS disponibles para una base de datos y obtener información sobre una configuración de implementación. CodeDeploy Esta política ahora también otorga permiso para recuperar el contacto alternativo especificado adjunto a una Cuenta de AWS, recuperar información sobre una AWS Organizations política, recuperar una política de repositorio de Amazon ECR, recuperar información sobre una AWS Config regla archivada, recuperar una lista de familias de definiciones de tareas de Amazon ECS, enumerar las unidades organizativas raíz o principal (OUs) de la OU o cuenta secundaria especificada y enumerar las políticas que se adjuntan a la raíz, unidad organizativa o cuenta de destino especificada. | 10 de febrero de 2022 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Esta política ahora otorga permiso para crear grupos de CloudWatch registros y transmisiones de Amazon y para escribir registros en transmisiones de registros creadas. | 15 de diciembre de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir logs:CreateLogStream, logs:CreateLogGroup, and logs:PutLogEvent | Esta política ahora otorga permiso para crear grupos de CloudWatch registros y transmisiones de Amazon y para escribir registros en transmisiones de registros creadas. | 15 de diciembre de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy): añadir es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Esta política ahora otorga permiso para obtener detalles sobre un Amazon OpenSearch Service (OpenSearch Servicio) domain/domains y obtener una lista de parámetros detallada para un grupo de parámetros de base de datos de Amazon Relational Database Service (Amazon RDS) concreto. Esta política también otorga permiso para obtener detalles sobre las instantáneas de Amazon ElastiCache . | 8 de septiembre de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole): añadir es:DescribeDomain, es:DescribeDomains, rds:DescribeDBParameters, and, elasticache:DescribeSnapshots | Esta política ahora otorga permiso para obtener detalles sobre un Amazon OpenSearch Service (OpenSearch Servicio) domain/domains y obtener una lista de parámetros detallada para un grupo de parámetros de base de datos de Amazon Relational Database Service (Amazon RDS) concreto. Esta política también otorga permiso para obtener detalles sobre las instantáneas de Amazon ElastiCache . | 8 de septiembre de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Añadir logs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine permisos y permisos adicionales para los tipos de recursos AWS | Esta política ahora otorga permiso para enumerar las etiquetas de un grupo de registro, enumerar las etiquetas de una máquina de estado y enumerar todas las máquinas de estado. Esta política ahora otorga permiso para obtener información sobre una máquina de estado. Esta política ahora también admite permisos adicionales para Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon, Amazon Data Firehose FSx, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, Amazon AI, Amazon Simple Notification Service, SageMaker y. AWS Database Migration Service AWS Global Accelerator AWS Storage Gateway | 28 de julio de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Agregue l ogs:ListTagsLogGroup, states:ListTagsForResource, states:ListStateMachines, states:DescribeStateMachine y permisos adicionales para los tipos de recursos AWS | Esta política ahora otorga permiso para enumerar las etiquetas de un grupo de registro, enumerar las etiquetas de una máquina de estado y enumerar todas las máquinas de estado. Esta política ahora otorga permiso para obtener información sobre una máquina de estado. Esta política ahora también admite permisos adicionales para Amazon EC2 Systems Manager (SSM), Amazon Elastic Container Registry, Amazon, Amazon Data Firehose FSx, Amazon Managed Streaming for Apache Kafka (Amazon MSK), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, Amazon AI, Amazon Simple Notification Service, SageMaker y. AWS Database Migration Service AWS Global Accelerator AWS Storage Gateway | 28 de julio de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Añadir permisos y permisos adicionales para los tipos de recursos ssm:DescribeDocumentPermission AWS | Esta política ahora otorga permiso para ver los permisos de los documentos y la información de AWS Systems Manager sobre el Analizador de acceso de IAM. Esta política ahora admite tipos de AWS recursos adicionales para Amazon Kinesis, Amazon, ElastiCache Amazon EMR, Amazon Route 53 y AWS Network Firewall Amazon Relational Database Service (Amazon RDS). Estos cambios de permisos permiten AWS Config invocar el código de solo lectura necesario para admitir estos tipos de recursosAPIs . Esta política ahora también admite el filtrado de funciones de Lambda @Edge para la regla [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config administrada. | 8 de junio de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Añadir ssm:DescribeDocumentPermission permisos adicionales para los tipos de AWS recursos | Esta política ahora otorga permiso para ver los permisos de los documentos y la información de AWS Systems Manager sobre el Analizador de acceso de IAM. Esta política ahora admite tipos de AWS recursos adicionales para Amazon Kinesis, Amazon, ElastiCache Amazon EMR, Amazon Route 53 y AWS Network Firewall Amazon Relational Database Service (Amazon RDS). Estos cambios de permisos permiten AWS Config invocar el código de solo lectura necesario para admitir estos tipos de recursosAPIs . Esta política ahora también admite el filtrado de funciones de Lambda @Edge para la regla [lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) AWS Config administrada. | 8 de junio de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Añadir apigateway:GET permiso para realizar llamadas GET de solo lectura a API Gateway y s3:GetAccessPointPolicy permiso y s3:GetAccessPointPolicyStatus permiso para invocar Amazon S3 de solo lectura APIs | Esta política ahora otorga permisos que permiten AWS Config realizar llamadas GET de solo lectura a API Gateway para admitir una AWS Config regla para API Gateway. La política también añade permisos que permiten AWS Config invocar Amazon Simple Storage Service (Amazon S3) en modo de APIs solo lectura, que son necesarios para admitir el nuevo tipo de recurso. `AWS::S3::AccessPoint` | 10 de mayo de 2021 |
| [AWS\$1ConFigrole](#security-iam-awsmanpol-AWS_ConfigRole): añade apigateway:GET permiso para realizar llamadas GET de solo lectura a API Gateway y s3:GetAccessPointPolicy permiso y permiso para s3:GetAccessPointPolicyStatus invocar Amazon S3 de solo lectura APIs | Esta política ahora otorga permisos que permiten AWS Config realizar llamadas GET de solo lectura a API Gateway para admitir una AWS Config API Gateway. La política también añade permisos que permiten AWS Config invocar Amazon Simple Storage Service (Amazon S3) en modo de APIs solo lectura, que son necesarios para admitir el nuevo tipo de recurso. `AWS::S3::AccessPoint` | 10 de mayo de 2021 |
| [AWSConfigServiceRolePolicy](#security-iam-awsmanpol-AWSConfigServiceRolePolicy)— Añadir ssm:ListDocuments permisos y permisos adicionales para los tipos de recursos AWS | Esta política ahora otorga permisos para ver información sobre los documentos específicos de AWS Systems Manager . Esta política ahora también admite tipos de AWS recursos adicionales para AWS Backup Amazon Elastic File System, Amazon ElastiCache, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis, Amazon AI y Amazon Route SageMaker 53. AWS Database Migration Service Estos cambios de permisos permiten AWS Config invocar el código de solo lectura APIs necesario para admitir estos tipos de recursos. | 1 de abril de 2021 |
| [AWS\$1ConfigRole](#security-iam-awsmanpol-AWS_ConfigRole)— Añadir ssm:ListDocuments permisos y permisos adicionales para los tipos de recursos AWS | Esta política ahora otorga permisos para ver información sobre los documentos específicos de AWS Systems Manager . Esta política ahora también admite tipos de AWS recursos adicionales para AWS Backup Amazon Elastic File System, Amazon ElastiCache, Amazon Simple Storage Service (Amazon S3), Amazon Elastic Compute Cloud (Amazon EC2), Amazon Kinesis, Amazon AI y Amazon Route SageMaker 53. AWS Database Migration Service Estos cambios de permisos permiten AWS Config invocar el código de solo lectura APIs necesario para admitir estos tipos de recursos. | 1 de abril de 2021 |
| `AWSConfigRole` está obsoleto. | `AWSConfigRole` está obsoleto. La política de reemplazo es `AWS_ConfigRole`. | 1 de abril de 2021 |
| AWS Config comenzó a rastrear los cambios | AWS Config comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 1 de abril de 2021 |
# Permisos para el rol de IAM asignado a AWS Config
Un rol de IAM le permite definir un conjunto de permisos. AWS Config asume la función que se le asigna para escribir en su bucket de S3, publicar en su tema de SNS y realizar solicitudes `Describe` o solicitudes a la `List` API para obtener detalles de configuración de sus AWS recursos. Para obtener más información acerca de los roles de IAM, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html) en la *guía del usuario de IAM*.
Cuando utilizas la AWS Config consola para crear o actualizar un rol de IAM, te asigna AWS Config automáticamente los permisos necesarios. Para obtener más información, consulte [Configuración de AWS Config con la consola](gs-console.md).
**Políticas y resultados de cumplimiento**
Las [políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) y [otras políticas administradas en AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) pueden afectar a los permisos de AWS Config para registrar cambios de configuración para los recursos. Además, las reglas evalúan directamente la configuración de un recurso y no tienen en cuenta estas políticas al ejecutar las evaluaciones. Asegúrese de que las políticas en vigor se ajusten a la forma en que piensa utilizar AWS Config.
**Contents**
+ [Creación de políticas de roles de IAM](#iam-role-policies)
+ [Adición de una política de confianza de IAM a su rol](#iam-trust-policy)
+ [Política de roles de IAM para el bucket de S3](#iam-role-policies-S3-bucket)
+ [Política de roles de IAM para la clave de KMS](#iam-role-policies-S3-kms-key)
+ [Política de roles de IAM para temas de Amazon SNS](#iam-role-policies-sns-topic)
+ [Política de roles de IAM para obtener datos de configuración](#iam-role-policies-describe-apis)
+ [Administración de permisos para el registro de buckets de S3](#troubleshooting-recording-s3-bucket-policy)
## Creación de políticas de roles de IAM
Cuando utiliza la AWS Config consola para crear un rol de IAM, le asigna AWS Config automáticamente los permisos necesarios al rol.
Si lo utiliza AWS CLI para configurar AWS Config o actualizar un rol de IAM existente, debe actualizar manualmente la política para poder acceder AWS Config a su bucket de S3, publicar en su tema de SNS y obtener los detalles de configuración de sus recursos.
### Adición de una política de confianza de IAM a su rol
Puede crear una política de confianza de IAM que le permita asumir una función y utilizarla AWS Config para realizar un seguimiento de sus recursos. Para obtener más información sobre las políticas de confianza, consulte [Términos y conceptos de roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/d_roles_terms-and-concepts.html) en la *Guía del usuario de IAM*.
El siguiente es un ejemplo de política de confianza para los AWS Config roles:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
Puede utilizar la condición `AWS:SourceAccount` de la relación de confianza del rol de IAM anterior para restringir que la entidad principal del servicio de Config solo interactúe con el rol de AWS IAM cuando realice operaciones en nombre de cuentas específicas.
AWS Config también admite la `AWS:SourceArn` condición que restringe al director del servicio Config a asumir únicamente la función de IAM cuando realiza operaciones en nombre de la cuenta propietaria. Cuando se utiliza la AWS Config entidad principal de servicio, la `AWS:SourceArn` propiedad siempre se establece `arn:aws:config:sourceRegion:sourceAccountID:*` en `sourceRegion` la región del registrador de configuración gestionado por el cliente y `sourceAccountID` en el identificador de la cuenta que contiene el registrador de configuración gestionado por el cliente.
Por ejemplo, agregue la siguiente condición para hacer que la entidad principal del servicio Config solo asuma el rol de IAM en nombre de un registrador de configuración administrado por el cliente en la región `us-east-1` de la cuenta `123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
### Política de roles de IAM para el bucket de S3
El siguiente ejemplo de política otorga AWS Config permiso para acceder a su bucket de S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource":[
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/myAccountID/*"
],
"Condition":{
"StringLike":{
"s3:x-amz-acl":"bucket-owner-full-control"
}
}
},
{
"Effect":"Allow",
"Action":[
"s3:GetBucketAcl"
],
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
### Política de roles de IAM para la clave de KMS
El siguiente ejemplo de política otorga AWS Config permiso para usar el cifrado basado en KMS en nuevos objetos para la entrega de cubos en S3:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
}
]
}
```
------
### Política de roles de IAM para temas de Amazon SNS
El siguiente ejemplo de política otorga AWS Config permiso para acceder a tu tema de SNS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect":"Allow",
"Action":"sns:Publish",
"Resource":"arn:aws:sns:us-east-1:123456789012:MyTopic"
}
]
}
```
------
Si el tema de SNS se cifra para instrucciones adicionales sobre la configuración, consulte [Configuración de los permisos de AWS KMS](https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
### Política de roles de IAM para obtener datos de configuración
Se recomienda utilizar el rol AWS Config vinculado al servicio:. `AWSServiceRoleForConfig` Los roles vinculados al servicio están predefinidos e incluyen todos los permisos necesarios para llamar a otros AWS Config . Servicios de AWS El rol AWS Config vinculado al servicio es obligatorio para los grabadores de configuración vinculados al servicio. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
Si crea o actualiza un rol con la consola, AWS Config lo adjunta automáticamente. **AWSServiceRoleForConfig**
Si utiliza el AWS CLI, utilice el `attach-role-policy` comando y especifique el nombre de recurso de Amazon (ARN) para: **AWSServiceRoleForConfig**
```
$ aws iam attach-role-policy --role-name myConfigRole --policy-arn arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForConfig
```
### Administración de permisos para el registro de buckets de S3
AWS Config registra y envía notificaciones cuando se crea, actualiza o elimina un bucket de S3.
Se recomienda utilizar el rol AWS Config vinculado al servicio:. `AWSServiceRoleForConfig` Los roles vinculados al servicio están predefinidos e incluyen todos los permisos necesarios para llamar a otros AWS Config . Servicios de AWS El rol AWS Config vinculado al servicio es obligatorio para los grabadores de configuración vinculados al servicio. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/using-service-linked-roles.html).
# Actualización del rol de IAM para el registrador de configuración administrado por el cliente
Puede actualizar el rol de IAM utilizado por el registrador de configuración administrado por el cliente. Antes de actualizar el rol de IAM, asegúrese de haber creado un nuevo rol para sustituir al anterior. Debe adjuntar políticas al nuevo rol que otorgan permisos AWS Config para registrar las configuraciones y entregarlas a su canal de entrega.
Para obtener información sobre cómo crear un rol de IAM y asociar las políticas necesarias al rol de IAM, consulte [Paso 3: crear un rol de IAM](gs-cli-prereq.md#gs-cli-create-iamrole).
**nota**
Para encontrar el ARN de un rol de IAM existente, vaya a la consola de IAM en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) Seleccione **Roles** en el panel de navegación. A continuación, elija el nombre del rol que desee y encuentre el ARN en la parte superior de la página **Summary (Resumen)**.
## Actualización del rol de IAM
Puede actualizar su función de IAM mediante la o la. Consola de administración de AWS AWS CLI
------
#### [ To update the IAM role (Console) ]
1. Inicie sesión en la AWS Config consola de su [https://console.aws.amazon.com/config/casa Consola de administración de AWS](https://console.aws.amazon.com/config/home) y ábrala.
1. Seleccione **Configuración** en el panel de navegación.
1. En la pestaña **Registrador administrado por el cliente**, seleccione **Editar** en la página Configuración.
1. En la sección **Gobernanza de datos**, elija la función de IAM para AWS Config:
+ **Usa un rol AWS Config vinculado a un servicio existente**: AWS Config crea un rol que tenga los permisos necesarios.
+ **Elegir un rol de su cuenta**: para **Roles existentes**, seleccione un rol de IAM en su cuenta.
1. Seleccione **Save**.
------
#### [ To update the IAM role (AWS CLI) ]
Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html](https://docs.aws.amazon.com/cli/latest/reference/configservice/put-configuration-recorder.html) y especifique el nombre de recurso de Amazon (ARN) del nuevo rol:
```
$ aws configservice put-configuration-recorder --configuration-recorder name=configRecorderName,roleARN=arn:aws:iam::012345678912:role/myConfigRole
```
------
# Permisos del bucket de Amazon S3 para el canal AWS Config de entrega
**importante**
Esta página trata sobre cómo configurar el Amazon S3 Bucket para el canal AWS Config de entrega. Esta página no trata sobre el tipo `AWS::S3::Bucket` de recurso que puede grabar la grabadora de AWS Config configuración.
De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo la persona Cuenta de AWS que creó el depósito (el propietario del recurso) tiene permisos de acceso. Los propietarios de recursos pueden conceder acceso a otros recursos y usuarios creando políticas de acceso.
Cuando crea AWS Config automáticamente un bucket de S3 para usted, añade los permisos necesarios. No obstante, si especifica un bucket de S3 existente, debe agregar estos permisos de forma manual.
**Topics**
+ [Cuando se usan los roles de IAM](#required-permissions-in-another-account)
+ [Cuando se usan los roles vinculados a servicios](#required-permissions-using-servicelinkedrole)
+ [Concesión de AWS Config acceso](#granting-access-in-another-account)
+ [Entrega entre cuentas](#required-permissions-cross-account)
## Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles de IAM
AWS Config utiliza la función de IAM que asignó al grabador de configuración para enviar el historial de configuración y las instantáneas a los depósitos de S3 de su cuenta. Para la entrega entre cuentas, AWS Config primero intenta usar la función de IAM asignada. Si la política de bucket no concede acceso a `WRITE` al rol de IAM, AWS Config utiliza la entidad principal de servicio `config.amazonaws.com`. La política de bucket debe conceder acceso a `WRITE` a `config.amazonaws.com` para completar la entrega. Tras una entrega correcta, AWS Config conserva la propiedad de todos los objetos que entrega al depósito S3 multicuenta.
AWS Config llama a la [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)API de Amazon S3 con la función de IAM que asignó al registrador de configuración para confirmar si el bucket de S3 existe y su ubicación. Si no tiene los permisos necesarios AWS Config para confirmarlo, aparecerá un `AccessDenied` error en sus AWS CloudTrail registros. Sin embargo, AWS Config puede seguir proporcionando el historial de configuración y las instantáneas aunque AWS Config no disponga de los permisos necesarios para confirmar la existencia del bucket de S3 y su ubicación.
**Permisos mínimos**
La API `HeadBucket` de Amazon S3 requiere esta acción `s3:ListBucket`.
## Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles vinculados a servicios
El rol AWS Config vinculado al servicio no tiene permiso para colocar objetos en los buckets de Amazon S3. Si lo configura AWS Config mediante un rol vinculado a un servicio, AWS Config utilizará el principal de `config.amazonaws.com` servicio para entregar el historial de configuración y las instantáneas. La política de compartimentos de S3 de su cuenta o de los destinos de varias cuentas debe incluir permisos para que el director del AWS Config servicio escriba objetos.
## Concesión de AWS Config acceso al Amazon S3 Bucket
Complete los siguientes pasos AWS Config para enviar el historial de configuración y las instantáneas a un bucket de Amazon S3.
1. Inicie sesión Consola de administración de AWS con la cuenta que tiene el bucket de S3.
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Seleccione el depósito que quiere usar AWS Config para entregar los elementos de configuración y, a continuación, elija **Propiedades**.
1. Elija **Permisos**.
1. Elija **Edit Bucket Policy**.
1. Copie la siguiente política en la ventana **Bucket Policy Editor (Editor de política de bucket)**:
**Prácticas recomendadas de seguridad**
Le recomendamos encarecidamente que restrinja el acceso a la política de bucket con la condición `AWS:SourceAccount`. Esto garantiza que solo AWS Config se conceda el acceso en nombre de los usuarios esperados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSConfigBucketPermissionsCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
},
{
"Sid": "AWSConfigBucketDelivery",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[optional] prefix/AWSLogs/sourceAccountID/Config/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
------
1. Cambie los siguientes valores de la política del bucket:
+ *amzn-s3-demo-bucket*— Nombre del bucket de Amazon S3 donde se AWS Config entregarán el historial de configuración y las instantáneas.
+ *[optional] prefix*— Una adición opcional a la clave de objeto de Amazon S3 que ayuda a crear una organización similar a una carpeta en el bucket.
+ *sourceAccountID*— ID de la cuenta en la que se AWS Config entregarán el historial de configuración y las instantáneas.
1. Elija **Save (Guardar)** y, a continuación, **Close (Cerrar)**.
La `AWS:SourceAccount` condición restringe las AWS Config operaciones a lo especificado. Cuentas de AWS Para las configuraciones de varias cuentas dentro de una organización que realizan entregas en un único segmento de S3, utilice funciones de IAM con claves de AWS Organizations condiciones en lugar de funciones vinculadas al servicio. Por ejemplo, `AWS:PrincipalOrgID`. Para obtener más información, consulte [Administración de permisos de acceso para una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html) en la *Guía del usuario de AWS Organizations *.
La `AWS:SourceArn` condición restringe las AWS Config operaciones a canales de entrega específicos. El formato de `AWS:SourceArn` es el siguiente: `arn:aws:config:sourceRegion:123456789012`.
Por ejemplo, para restringir el acceso al bucket de S3 a un canal de entrega en la región Este de EE. UU. (Norte de Virginia) de la cuenta 123456789012, añada la siguiente condición:
```
"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:"}
```
## Permisos necesarios para el bucket de Amazon S3 cuando se realizan entregas entre cuentas
Si AWS Config está configurado para entregar el historial de configuración y las instantáneas a un bucket de Amazon S3 en una cuenta diferente (configuración multicuenta), donde el registrador de configuración y el bucket de S3 especificado para el canal de entrega son diferentes Cuentas de AWS, se requieren los siguientes permisos:
+ El rol de IAM que asigne al registrador de configuración necesita un permiso explícito para realizar la operación `s3:ListBucket`. Esto se debe a que AWS Config llama a la [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RESTBucketHEAD.html)API de Amazon S3 con esta función de IAM para determinar la ubicación del bucket.
+ La política de bucket de S3 debe incluir los permisos para la función de IAM asignada al registrador de configuración.
A continuación se muestra un ejemplo de política de bucket.
```
{
"Sid": "AWSConfigBucketExistenceCheck",
"Effect": "Allow",
"Principal": {
"AWS": "IAM Role-Arn assigned to the configuration recorder"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
}
```
# Permisos para la clave KMS del canal de AWS Config entrega
Utilice la información de este tema si desea crear una política para una AWS KMS clave para su depósito de S3 que le permita utilizar el cifrado basado en KMS en los objetos entregados AWS Config por el depósito de S3.
**Contents**
+ [Permisos necesarios para la clave de KMS si se utilizan roles de IAM (entrega de buckets de S3)](#required-permissions-s3-kms-key-using-iam-role)
+ [Permisos necesarios para la AWS KMS clave cuando se utilizan funciones vinculadas al servicio (S3 Bucket Delivery)](#required-permissions-s3-kms-key-using-servicelinkedrole)
+ [Otorgar AWS Config acceso a la AWS KMS clave](#granting-access-s3-kms-key)
## Permisos necesarios para la clave de KMS si se utilizan roles de IAM (entrega de buckets de S3)
Si lo configuras AWS Config con un rol de IAM, puedes adjuntar la siguiente política de permisos a la clave de KMS:
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Resource": "*myKMSKeyARN*",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
**nota**
Si el rol de IAM, la política del bucket de Amazon S3 o la AWS KMS clave no proporcionan el acceso adecuado AWS Config, se producirá AWS Config un error al intentar enviar la información de configuración al bucket de Amazon S3. En este caso, vuelve AWS Config a enviar la información, esta vez como principal del AWS Config servicio. En este caso, debe adjuntar una política de permisos, que se menciona a continuación, a la AWS KMS clave para permitir el AWS Config acceso y usarla cuando entregue información al bucket de Amazon S3.
## Permisos necesarios para la AWS KMS clave cuando se utilizan funciones vinculadas al servicio (S3 Bucket Delivery)
El rol AWS Config vinculado al servicio no tiene permiso para acceder a la clave. AWS KMS Por lo tanto, si lo configuras AWS Config con un rol vinculado a un servicio, en su lugar AWS Config enviará la información como responsable del AWS Config servicio. Deberá adjuntar una política de acceso, que se menciona a continuación, a la AWS KMS clave para conceder el AWS Config acceso y poder AWS KMS utilizarla cuando entregue información al bucket de Amazon S3.
## Otorgar AWS Config acceso a la AWS KMS clave
Esta política permite AWS Config utilizar una AWS KMS clave al entregar información a un bucket de Amazon S3.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigKMSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "myKMSKeyARN",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "sourceAccountID"
}
}
}
]
}
```
Cambie los siguientes valores de la política de claves:
+ *myKMSKeyARN*— El ARN de la AWS KMS clave utilizada para cifrar los datos del bucket de Amazon S3 al que se AWS Config entregarán los elementos de configuración a.
+ *sourceAccountID*— El ID de la cuenta a la que se AWS Config entregarán los elementos de configuración.
Puedes usar la `AWS:SourceAccount` condición de la política AWS KMS clave anterior para restringir que el director del servicio Config solo interactúe con la AWS KMS clave cuando realice operaciones en nombre de cuentas específicas.
AWS Config también admite la `AWS:SourceArn` condición que restringe al director del servicio Config a interactuar únicamente con el bucket de Amazon S3 cuando realiza operaciones en nombre de canales de AWS Config entrega específicos. Al usar el AWS Config servicio principal, la `AWS:SourceArn` propiedad siempre estará configurada `arn:aws:config:sourceRegion:sourceAccountID:*` en `sourceRegion` la región del canal de entrega y `sourceAccountID` en el ID de la cuenta que contiene el canal de entrega. Para obtener más información sobre los canales de AWS Config entrega, consulte [Administración del canal de entrega](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Por ejemplo, añada la siguiente condición para restringir que la entidad principal del servicio de Config interactúe con su bucket de Amazon S3 únicamente en nombre de un canal de entrega de la región `us-east-1` de la cuenta `123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`.
# Permisos para el tema de Amazon SNS
**No se admite Amazon SNS cifrado**
AWS Config no admite temas cifrados de Amazon SNS.
En este tema se describe cómo configurar AWS Config para entregar temas de Amazon SNS que pertenecen a una cuenta diferente. AWS Config debe tener los permisos necesarios para enviar notificaciones a un tema de Amazon SNS.
Cuando la AWS Config consola cree un tema nuevo de Amazon SNS para usted, le AWS Config concede los permisos necesarios. Si elige un tema de Amazon SNS existente, asegúrese de que el tema de Amazon SNS incluya los permisos necesarios y siga las prácticas recomendadas de seguridad.
**No se admiten temas de Amazon SNS entre regiones**
AWS Config actualmente solo admite el acceso dentro de la misma cuenta Región de AWS y entre cuentas.
**Contents**
+ [Permisos necesarios para el tema de Amazon SNS cuando se utilizan roles de IAM](#required-permissions-snstopic-in-another-account)
+ [Permisos necesarios para el tema de Amazon SNS cuando se utilizan roles vinculados a servicios](#required-permissions-snstopic-using-servicelinkedrole)
+ [Concesión de AWS Config acceso al tema Amazon SNS](#granting-access-snstopic)
+ [Solución de problemas del tema de Amazon SNS](#troubleshooting-for-snstopic-using-servicelinkedrole)
## Permisos necesarios para el tema de Amazon SNS cuando se utilizan roles de IAM
Puede asociar una política de permisos al tema de Amazon SNS propiedad de una cuenta diferente. Si desea utilizar un tema de Amazon SNS de otra cuenta, asegúrese de asociar la siguiente política a un tema de Amazon SNS existente.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Action": [
"sns:Publish"
],
"Effect": "Allow",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Principal": {
"AWS": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
]
}
```
Para la `Resource` clave, *account-id* es el número de AWS cuenta del propietario del tema. Para*account-id1*, y *account-id2**account-id3*, usa el tema Cuentas de AWS que enviará datos a un tema de Amazon SNS. Puede sustituir los valores adecuados por *region* y*myTopic*.
Cuando AWS Config envía una notificación a un tema de Amazon SNS, primero intenta usar el rol de IAM, pero este intento falla si el rol o Cuenta de AWS no tiene permiso para publicar en el tema. En este caso, vuelve AWS Config a enviar la notificación, esta vez como un nombre principal de AWS Config servicio (SPN). Para que la entrega se realice correctamente, la política de acceso del tema debe conceder a `sns:Publish` acceso al nombre de la entidad principal de `config.amazonaws.com`. Debe asociar una política de acceso, que se describe en la siguiente sección, al tema de Amazon SNS para conceder a AWS Config acceso al tema de Amazon SNS si el rol de IAM no tiene permiso para publicar en el tema.
## Permisos necesarios para el tema de Amazon SNS cuando se utilizan roles vinculados a servicios
El rol AWS Config vinculado al servicio no tiene permiso para acceder al tema de Amazon SNS. Por lo tanto, si lo configuras AWS Config mediante un rol vinculado a un servicio (SLR), en su lugar AWS Config enviará la información como responsable del servicio. AWS Config Deberá adjuntar una política de acceso, que se menciona a continuación, al tema Amazon SNS para permitir el AWS Config acceso y enviar información al tema Amazon SNS.
Para configurar en la misma cuenta, si el tema de Amazon SNS y el SLR están en la misma cuenta y la política de Amazon SNS concede el permiso `sns:Publish` al SLR, no será necesario utilizar el SPN de AWS Config . La siguiente política de permisos y las prácticas recomendadas de seguridad se refieren a la configuración en varias cuentas.
## Concesión de AWS Config acceso al tema Amazon SNS
Esta política permite AWS Config enviar una notificación a un tema de Amazon SNS. Para conceder AWS Config acceso al tema de Amazon SNS desde otra cuenta, tendrás que adjuntar la siguiente política de permisos.
**nota**
Como práctica recomendada de seguridad, se recomienda encarecidamente asegurarse de que solo AWS Config se accede a los recursos en nombre de los usuarios esperados restringiendo el acceso a las cuentas que figuran en esa `AWS:SourceAccount` condición.
```
{
"Id": "Policy_ID",
"Statement": [
{
"Sid": "AWSConfigSNSPolicy",
"Effect": "Allow",
"Principal": {
"Service": "config.amazonaws.com"
},
"Action": "sns:Publish",
"Resource": "arn:aws:sns:region:account-id:myTopic",
"Condition" : {
"StringEquals": {
"AWS:SourceAccount": [
"account-id1",
"account-id2",
"account-id3"
]
}
}
}
]
}
```
Para la `Resource` clave, *account-id* es el número de AWS cuenta del propietario del tema. Para*account-id1*, y *account-id2**account-id3*, usa el tema Cuentas de AWS que enviará datos a un tema de Amazon SNS. Puede sustituir los valores adecuados por *region* y*myTopic*.
Puede utilizar la `AWS:SourceAccount` condición de la política de temas anterior de Amazon SNS para restringir el nombre principal del AWS Config servicio (SPN) para que solo interactúe con el tema de Amazon SNS cuando realice operaciones en nombre de cuentas específicas.
AWS Config también admite la `AWS:SourceArn` condición que restringe el nombre principal del AWS Config servicio (SPN) a interactuar únicamente con el bucket de S3 cuando se realizan operaciones en nombre de canales de entrega específicos. AWS Config Si se utiliza el nombre principal del AWS Config servicio (SPN), la `AWS:SourceArn` propiedad siempre se establece `arn:aws:config:sourceRegion:sourceAccountID:*` en `sourceRegion` la región del canal de entrega y `sourceAccountID` en el identificador de la cuenta que contiene el canal de entrega. Para obtener más información sobre los canales AWS Config de entrega, consulte [Administración del canal de entrega](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html). Por ejemplo, añada la siguiente condición para restringir que el nombre principal del AWS Config servicio (SPN) interactúe con su bucket de S3 únicamente en nombre de un canal de entrega de la `us-east-1` región de la cuenta`123456789012`: `"ArnLike": {"AWS:SourceArn": "arn:aws:config:us-east-1:123456789012:*"}`
## Solución de problemas del tema de Amazon SNS
AWS Config debe tener permisos para enviar notificaciones a un tema de Amazon SNS. Si un tema de Amazon SNS no puede recibir notificaciones, compruebe que la función de IAM que AWS Config estaba asumiendo tiene los permisos necesarios. `sns:Publish`
# Solución de problemas de AWS Config identidad y acceso
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con un AWS Config IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS Config](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS Config recursos](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en AWS Config
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `config:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: config:GetWidget on resource: my-example-widget
```
En este caso, la política de Mateo se debe actualizar para permitirle acceder al recurso `my-example-widget` mediante la acción `config:GetWidget`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No estoy autorizado a realizar tareas como: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS Config.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AWS Config. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS Config recursos
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si AWS Config es compatible con estas funciones, consulte. [¿Cómo AWS Config funciona con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de funciones vinculadas a servicios para AWS Config
AWS Config utiliza funciones AWS Identity and Access Management vinculadas al [servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Config Los roles vinculados al servicio están predefinidos AWS Config e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Config , ya que no es necesario añadir manualmente los permisos necesarios. AWS Config define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Config puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Yes **(Sí) en la columna **Service Linked Role** (Rol vinculado a servicios). Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para AWS Config
AWS Config usa el rol vinculado al servicio denominado **AwsServiceRoleForConfig**: AWS Config usa este rol vinculado al servicio para llamar a otros servicios en su nombre. AWS Para ver las actualizaciones más recientes, consulte [AWS Config actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
El rol vinculado a servicios **AwsServiceRoleForConfig** confía en el servicio `config.amazonaws.com` para asumir el rol.
La política de permisos del `AwsServiceRoleForConfig` rol contiene permisos de solo lectura y solo escritura para los recursos y permisos de solo lectura para AWS Config los recursos de otros servicios compatibles. AWS Config [Para ver la política administrada de, consulte Políticas administradas de **AwsServiceRoleForConfig**.AWSAWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSConfigServiceRolePolicy)
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
Para utilizar un rol vinculado a un servicio AWS Config, debe configurar los permisos en su bucket de Amazon S3 y en el tema de Amazon SNS. Para obtener más información, consulte [Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles vinculados a serviciosPermisos necesarios para el bucket de Amazon S3 cuando se realizan entregas entre cuentas](s3-bucket-policy.md#required-permissions-using-servicelinkedrole), [Permisos necesarios para la AWS KMS clave cuando se utilizan funciones vinculadas al servicio (S3 Bucket Delivery)](s3-kms-key-policy.md#required-permissions-s3-kms-key-using-servicelinkedrole) y [Permisos necesarios para el tema de Amazon SNS cuando se utilizan roles vinculados a servicios](sns-topic-policy.md#required-permissions-snstopic-using-servicelinkedrole).
## Crear un rol vinculado a un servicio para AWS Config
En la CLI de IAM o la API de IAM, cree un rol vinculado a servicio con el nombre de servicio `config.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Edición de un rol vinculado a un servicio para AWS Config
AWS Config no permite editar el rol vinculado al **AwsServiceRoleForConfig**servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS Config
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el AWS Config servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar AWS Config los recursos utilizados por el **AwsServiceRoleForConfig****
Compruebe que no haya `ConfigurationRecorders` que estén utilizando el rol vinculado al servicio. Puede utilizar la AWS Config consola para detener la grabadora de configuración. Para detener la grabación, en **Recording is on (La grabación está activada)**, elija **Turn off (Desactivar)**.
Puede eliminar la AWS Config API `ConfigurationRecorder` de uso. Para eliminarlo, utilice el comando`delete-configuration-recorder`.
```
$ aws configservice delete-configuration-recorder --configuration-recorder-name default
```
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios AwsServiceRoleForConfig. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
# Respuesta a incidentes en AWS Config
La seguridad de AWS es nuestra mayor prioridad. Como parte del [modelo de responsabilidad compartida AWS](https://aws.amazon.com/compliance/shared-responsibility-model) en la nube, AWS administra un centro de datos, una red y una arquitectura de software que cumplen con los requisitos de las organizaciones más sensibles a la seguridad. AWS es responsable de cualquier respuesta a un incidente relacionado con el propio AWS Config servicio. Además, como AWS cliente, usted comparte la responsabilidad de mantener la seguridad en la nube. Esto significa que usted controla la seguridad que decide implementar desde las AWS herramientas y funciones a las que tiene acceso, y es responsable de la respuesta a los incidentes, según su parte del modelo de responsabilidad compartida.
Al establecer una base de seguridad que cumpla con los objetivos de las aplicaciones que se ejecutan en la nube, puede detectar las desviaciones a las que puede responder. Dado que la respuesta a los incidentes de seguridad puede ser un tema complejo, le recomendamos que consulte los siguientes recursos para que pueda comprender mejor el impacto que la respuesta a los incidentes (IR) y sus elecciones tienen en sus objetivos corporativos: la [Guía de respuesta a incidentes de AWS seguridad](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html), el documento técnico sobre [las mejores prácticas de AWS seguridad](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc) y el documento técnico sobre la [perspectiva de seguridad del marco de adopción de la AWS nube](https://d1.awsstatic.com/whitepapers/AWS_CAF_Security_Perspective.pdf) (CAF).
# Validación de la conformidad para AWS Config
Los auditores externos evalúan la seguridad y el cumplimiento AWS Config como parte de varios programas de AWS cumplimiento. Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros.
Para saber si un [programa de cumplimiento Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte Servicios de AWS Alcance by Compliance Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia en AWS Config
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
[Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Seguridad de la infraestructura en AWS Config
Como servicio gestionado, AWS Config está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a AWS Config través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
## Configuración y análisis de vulnerabilidades
Para AWS Config, se AWS encarga de las tareas de seguridad básicas, como la aplicación de parches al sistema operativo (SO) huésped y a las bases de datos, la configuración del firewall y la recuperación ante desastres.
# Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.
Se recomienda utilizar las claves de contexto de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)y las claves de contexto en las políticas de recursos para limitar los permisos que se AWS Config otorgan a otro servicio al recurso. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios. Utiliza `aws:SourceAccount` si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.
La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si está especificando varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con caracteres comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:servicename:*:123456789012:*`.
Si el valor de `aws:SourceArn` no contiene el ID de cuenta, como un ARN de bucket de Amazon S3, debe utilizar ambas claves de contexto de condición global para limitar los permisos.
El siguiente ejemplo muestra cómo puede utilizar las claves de contexto de condición `aws:SourceAccount` global `aws:SourceArn` y las claves de contexto AWS Config para evitar el confuso problema de los adjuntos: [conceder AWS Config acceso al bucket de Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-policy.html).
# Mejores prácticas de seguridad para AWS Config
AWS Config proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
+ Aproveche el etiquetado para AWS Config facilitar la administración, la búsqueda y el filtrado de los recursos.
+ Confirme que sus [canales de entrega](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html) se hayan configurado correctamente y, una vez confirmados, compruebe que AWS Config se están [grabando correctamente](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html).
Para obtener más información, consulte la publicación del blog [AWS Config best practices](https://aws.amazon.com/blogs/mt/aws-config-best-practices/)