Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Gestión de identidad y acceso en AWS DataSync
AWS utiliza credenciales de seguridad para identificarlo y concederle acceso a sus AWS recursos. Puede utilizar las funciones de AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen sus AWS recursos de forma completa o limitada, sin compartir sus credenciales de seguridad.
De forma predeterminada, las identidades de IAM (usuarios, grupos y roles) no tienen permiso para crear, ver o modificar AWS recursos. Para permitir que los usuarios, grupos y roles accedan a AWS DataSync los recursos e interactúen con la DataSync consola y la API, te recomendamos que utilices una política de IAM que les conceda permiso para usar los recursos y las acciones de API específicos que necesiten. A continuación, adjunte la política a la identidad de IAM que requiere el acceso. Para obtener información general de los elementos básicos de una política, consulte [Administración de acceso para AWS DataSync](managing-access-overview.md).
**Topics**
+ [Administración de acceso para AWS DataSync](managing-access-overview.md)
+ [AWS políticas gestionadas para AWS DataSync](security-iam-awsmanpol.md)
+ [Políticas de IAM gestionadas por los clientes para AWS DataSync](using-identity-based-policies.md)
+ [Uso de roles vinculados a servicios para DataSync](using-service-linked-roles.md)
+ [Permisos para etiquetar los DataSync recursos durante la creación](supported-iam-actions-tagging.md)
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md)
# Administración de acceso para AWS DataSync
Cada AWS recurso es propiedad de un Cuenta de AWS. Los permisos de creación o acceso a un recurso se rigen por políticas de permisos. Un administrador de cuentas puede adjuntar políticas de permisos a las identidades AWS Identity and Access Management (IAM). Algunos servicios (por ejemplo AWS Lambda) también permiten adjuntar políticas de permisos a los recursos.
**nota**
Un *administrador de la cuenta* es un usuario con privilegios en una Cuenta de AWS. Para obtener más información, consulte [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
**Topics**
+ [DataSync recursos y operaciones](#access-control-specify-datasync-actions)
+ [Titularidad de los recursos](#access-control-owner)
+ [Administración del acceso a los recursos](#access-control-managing-permissions)
+ [Especificación de elementos de política: acciones, efectos, recursos y entidades principales](#policy-elements)
+ [Especificación de las condiciones de una política](#specifying-conditions)
+ [Creación de una política de punto de conexión de VPC](#endpoint-policy-example)
## DataSync recursos y operaciones
En DataSync, los recursos principales son el agente, la ubicación, la tarea y la ejecución de la tarea.
Estos recursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos, como se muestra en la siguiente tabla.
| Tipo de recurso | Formato de ARN |
| --- | --- |
| ARN del agente | `arn:aws:datasync:region:account-id:agent/agent-id` |
| ARN de ubicación | `arn:aws:datasync:region:account-id:location/location-id` |
| ARN de tarea | `arn:aws:datasync:region:account-id:task/task-id ` |
| ARN de ejecución de tarea | `arn:aws:datasync:region:account-id:task/task-id/execution/exec-id` |
Para conceder permisos para operaciones de API específicas, como la creación de una tarea, DataSync define un conjunto de acciones que puede especificar en una política de permisos. Una operación de la API puede requerir permisos para más de una acción.
## Titularidad de los recursos
*El propietario del recurso* es Cuenta de AWS quien creó el recurso. Es decir, el propietario del recurso es el Cuenta de AWS de la *entidad principal* (por ejemplo, un rol de IAM) que autentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:
+ Si utilizas las credenciales de tu cuenta raíz Cuenta de AWS para crear una tarea, eres el propietario del recurso (en DataSync, el recurso es la tarea). Cuenta de AWS
+ Si crea una función de IAM en su cuenta Cuenta de AWS y concede permisos para la `CreateTask` acción a ese usuario, el usuario puede crear una tarea. Sin embargo, la propietaria del recurso de tarea será su Cuenta de AWS, a la que pertenece el usuario.
+ Si crea un rol de IAM Cuenta de AWS con permisos para crear una tarea, cualquier persona que pueda asumir el rol podrá crear una tarea. Usted Cuenta de AWS, al que pertenece el rol, es el propietario del recurso de la tarea.
## Administración del acceso a los recursos
Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.
**nota**
En esta sección se analiza el uso de la IAM en el contexto de DataSync. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte [What is IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) (¿Qué es IAM?) en la *Guía del usuario de IAM*. Para obtener más información acerca de la sintaxis y las descripciones de la política de IAM, consulte [Referencia de políticas AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) en la *Guía del usuario de IAM*.
*Las políticas asociadas a una identidad de IAM se denominan políticas *basadas en la identidad* (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos.* DataSync solo admite políticas basadas en la identidad (políticas de IAM).
**Topics**
+ [Políticas basadas en identidades](#identity-based-policies)
+ [Políticas basadas en recursos](#resource-based-policies)
### Políticas basadas en identidades
Puede gestionar el acceso a los DataSync recursos con las políticas de IAM. Estas políticas pueden ayudar a un Cuenta de AWS administrador a hacer lo siguiente: DataSync
+ **Otorgue permisos para crear y administrar DataSync recursos**: cree una política de IAM que permita Cuenta de AWS a un rol de IAM crear y administrar DataSync recursos, como agentes, ubicaciones y tareas.
+ **Otorgue permisos a un rol en otro Cuenta de AWS o en uno Servicio de AWS: cree una** política de IAM que conceda permisos a un rol de IAM en otro rol o en uno diferente. Cuenta de AWS Servicio de AWS Por ejemplo:
1. El administrador de la Cuenta A crea un rol de IAM y adjunta una política de permisos al rol que concede permisos sobre los recursos de la Cuenta A.
1. El administrador de la cuenta A asocia una política de confianza al rol que identifica la cuenta B como la entidad principal que puede asumir el rol.
Para conceder un Servicio de AWS permiso para asumir el rol, el administrador de la cuenta A puede especificar una Servicio de AWS como principal en la política de confianza.
1. El administrador de la cuenta B puede entonces delegar permisos para asumir el rol a usuarios de la cuenta B. Esto permite a los usuarios del rol de la cuenta B crear u obtener acceso a recursos de la cuenta A.
Para obtener más información sobre el uso de IAM para delegar permisos, consulte [Access management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) (Administración de accesos) en la *Guía del usuario de IAM*.
A continuación, se muestra un ejemplo de política que concede permisos para todas las acciones `List*` en todos los recursos. Esta acción es de solo lectura y no permite modificar los recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllListActionsOnAllResources",
"Effect": "Allow",
"Action": [
"datasync:List*"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información sobre el uso de políticas basadas en la identidad con DataSync, consulte Políticas administradas y [Políticas AWS administradas](security-iam-awsmanpol.md) por el [cliente](using-identity-based-policies.md). Para obtener más información sobre identidades de IAM, consulte la [https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html).
### Políticas basadas en recursos
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede adjuntar una política a un bucket de Amazon S3 para administrar los permisos de acceso a dicho bucket. Sin embargo, DataSync no admite políticas basadas en recursos.
## Especificación de elementos de política: acciones, efectos, recursos y entidades principales
Para cada DataSync recurso, el servicio define un conjunto de operaciones de API (consulte [Acciones](https://docs.aws.amazon.com/datasync/latest/userguide/API_Operations.html)). Para conceder permisos para estas operaciones de API, DataSync define un conjunto de acciones que puedes especificar en una política. Por ejemplo, para el DataSync recurso, se definen las siguientes acciones: `CreateTask``DeleteTask`, y`DescribeTask`. Para realizar una operación API pueden ser necesarios permisos para más de una acción.
A continuación se indican los elementos más básicos de la política:
+ **Recurso**: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para los recursos de DataSync, puede utilizar el carácter comodín `(*)` en políticas de IAM. Para obtener más información, consulte [DataSync recursos y operaciones](#access-control-specify-datasync-actions).
+ **Acción**: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, según el `Effect` elemento especificado, el `datasync:CreateTask` permiso permite o deniega al usuario los permisos para realizar la DataSync `CreateTask` operación.
+ **Efecto**: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser `Allow` o `Deny`. Si no concede acceso de forma explícita a (`Allow`) un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso. Para obtener más información, consulte [Autorización](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-authorization) en la *Guía del usuario de IAM*.
+ **Entidad principal**: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. En el caso de las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad para la que desea recibir los permisos (solo se aplica a las políticas basadas en recursos). DataSync no admite políticas basadas en recursos.
Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte [Referencia de políticas de AWS Identity and Access Management IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
## Especificación de las condiciones de una política
Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte [Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) en la *Guía del usuario de IAM*.
Cómo expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para DataSync. Sin embargo, hay claves AWS de condición amplias que puede utilizar según convenga. Para obtener una lista completa de las teclas AWS anchas, consulte [las claves disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) en la *Guía del usuario de IAM*.
## Creación de una política de punto de conexión de VPC
Las políticas de punto final de VPC ayudan a controlar el acceso a las operaciones de DataSync API a través de puntos de enlace de servicio y puntos de enlace de DataSync VPC servicio de VPC habilitados para FIPS. Las políticas de puntos de enlace de VPC le permiten restringir acciones de DataSync API específicas a las que se accede a través de sus puntos VPC de enlace de servicio, como o. `CreateTask` `StartTaskExecution`
Una política de punto de conexión especifica la siguiente información:
+ Las entidades principales que pueden realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte [Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html).
**Ejemplo de política de**
A continuación, se muestra un ejemplo de una política de punto de conexión.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"datasync:CreateTask",
"datasync:StartTaskExecution",
"datasync:DescribeTask"
],
"Resource": "arn:aws:datasync:us-east-1:123456789012:task/*"
}
]
}
```
# AWS políticas gestionadas para AWS DataSync
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Servicios de AWS mantener y actualizar las políticas AWS gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos Servicios de AWS los recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSDataSyncReadOnlyAccess
Puede asociar la política `AWSDataSyncReadOnlyAccess` a las identidades de IAM. Esta política otorga permisos de solo lectura para. DataSync
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncReadOnlyAccess.html) en la *Referencia de la política administrada de AWS *.
## AWS política gestionada: AWSDataSyncFullAccess
Puede asociar la política `AWSDataSyncFullAccess` a las identidades de IAM. Esta política otorga permisos administrativos DataSync y es necesaria para Consola de administración de AWS acceder al servicio. `AWSDataSyncFullAccess`proporciona acceso completo a las operaciones de la DataSync API y a las operaciones que interactúan con los recursos relacionados (como los buckets de Amazon S3, los sistemas de archivos de Amazon EFS, AWS KMS las claves y los secretos de Secrets Manager). La política también otorga permisos a Amazon CloudWatch, incluida la creación de grupos de registros y la creación o actualización de una política de recursos.
Para ver los permisos de esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDataSyncFullAccess.html) en la *Referencia de la política administrada de AWS *.
## AWS política gestionada: AWSDataSyncServiceRolePolicy
No puede adjuntar la política `AWSDataSyncServiceRolePolicy` a las identidades de IAM. Esta política está asociada a un rol vinculado al servicio que permite DataSync realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios para DataSync](using-service-linked-roles.md).
Esta política concede permisos administrativos que permiten al rol vinculado al servicio crear CloudWatch registros de Amazon para DataSync las tareas mediante el modo mejorado.
## Actualizaciones de políticas
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): cambio | DataSync declaraciones de permiso modificadas para: `AWSDataSyncFullAccess` Las declaraciones actualizadas eliminan las condiciones de etiquetado de los permisos que se DataSync utilizan para crear secretos de Secrets Manager. | 13 de mayo de 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): cambio | DataSync agregó nuevos permisos para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/datasync/latest/userguide/security-iam-awsmanpol.html) Estos permisos permiten DataSync crear, editar y eliminar AWS Secrets Manager secretos. | 7 de mayo de 2025 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): cambio | DataSync agregó nuevos permisos para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/datasync/latest/userguide/security-iam-awsmanpol.html) Estos permisos permiten DataSync recuperar los metadatos sobre sus AWS Secrets Manager secretos y AWS KMS claves, incluidos los alias asociados a sus claves. | 23 de abril de 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy): cambio | DataSync agregó nuevos permisos a la `AWSDataSyncServiceRolePolicy` política que usa el rol vinculado al DataSync servicio: `AWSServiceRoleForDataSync` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/datasync/latest/userguide/security-iam-awsmanpol.html) Estos permisos permiten DataSync leer los metadatos y los valores de los secretos gestionados por. AWS Secrets Manager | 15 de abril de 2025 |
| [AWSDataSyncServiceRolePolicy](#security-iam-awsmanpol-awsdatasyncservicerolepolicy): política nueva | DataSync agregó una política que utiliza el rol DataSync vinculado al servicio. `AWSServiceRoleForDataSync` Esta nueva política gestionada crea automáticamente CloudWatch registros de Amazon para DataSync las tareas que utilizan el modo mejorado. | 30 de octubre de 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): cambio | DataSync agregó un nuevo permiso para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/datasync/latest/userguide/security-iam-awsmanpol.html) Este permiso le permite DataSync crear funciones vinculadas a un servicio para usted. | 30 de octubre de 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): cambio | DataSync agregó un nuevo permiso para: `AWSDataSyncFullAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/datasync/latest/userguide/security-iam-awsmanpol.html) Este permiso te permite elegir regiones opcionales al crear una DataSync tarea para realizar transferencias entre Regiones de AWS ellas. | 22 de julio de 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): cambio | DataSync agregó un nuevo permiso para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/datasync/latest/userguide/security-iam-awsmanpol.html) Este permiso te permite elegir una versión específica de tu [DataSync manifiesto](transferring-with-manifest.md). | 16 de febrero de 2024 |
| [AWSDataSyncFullAccess](#security-iam-awsmanpol-awsdatasyncfullaccess): cambio | DataSync agregó nuevos permisos para`AWSDataSyncFullAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/datasync/latest/userguide/security-iam-awsmanpol.html) Estos permisos le ayudan a crear DataSync agentes y ubicaciones para Amazon EFS, Amazon FSx for NetApp ONTAP, Amazon S3 y S3 en Outposts. | 2 de mayo de 2023 |
| DataSync comenzó a rastrear los cambios | DataSync comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 1 de marzo de 2021 |
# Políticas de IAM gestionadas por los clientes para AWS DataSync
Además de las políticas AWS gestionadas, también puede crear sus propias políticas basadas en la identidad AWS DataSync y adjuntarlas a las identidades AWS Identity and Access Management (de IAM) que requieren esos permisos. Las *políticas administradas por el cliente* son políticas independientes que usted administra en su propia Cuenta de AWS.
**importante**
Antes de empezar, le recomendamos que conozca los conceptos básicos y las opciones para administrar el acceso a sus recursos. DataSync Para obtener más información, consulte [Administración de acceso para AWS DataSync](managing-access-overview.md).
Al crear una política gestionada por el cliente, debe incluir declaraciones sobre DataSync las operaciones que se pueden utilizar en determinados AWS recursos. El siguiente ejemplo tiene dos instrucciones (fíjese en los elementos `Action` y en los elementos `Resource` de ambas):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowsSpecifiedActionsOnAllTasks",
"Effect": "Allow",
"Action": "datasync:DescribeTask",
"Resource": "arn:aws:datasync:us-east-1:111122223333:task/*"
},
{
"Sid": "ListAllTasks",
"Effect": "Allow",
"Action": "datasync:ListTasks",
"Resource": "*"
}
]
}
```
------
Las declaraciones de política hacen lo siguiente:
+ La primera instrucción concede permisos para realizar la acción `datasync:DescribeTask` en determinados recursos de la tarea de transferencia especificando un nombre de recurso de Amazon (ARN) con un carácter comodín (`*`).
+ La segunda instrucción concede permisos para realizar la acción `datasync:ListTasks` en todas las tareas especificando solo un carácter comodín (`*`).
## Ejemplos de políticas administradas por los clientes
En el siguiente ejemplo, las políticas administradas por el cliente otorgan permisos para varias DataSync operaciones. Las políticas funcionan si utilizas el AWS Command Line Interface (AWS CLI) o un AWS SDK. Para usar estas políticas en la consola, también debe usar la política administrada `AWSDataSyncFullAccess`.
**Topics**
+ [Ejemplo 1: Crear una relación de confianza que permita acceder DataSync a su bucket de Amazon S3](#datasync-example1)
+ [Ejemplo 2: Permite DataSync leer y escribir en tu bucket de Amazon S3](#datasync-example2)
+ [Ejemplo 3: Permitir DataSync cargar registros a grupos de CloudWatch registros](#datasync-example4)
### Ejemplo 1: Crear una relación de confianza que permita acceder DataSync a su bucket de Amazon S3
El siguiente es un ejemplo de una política de confianza que permite DataSync asumir una función de IAM. Esta función permite acceder DataSync a un bucket de Amazon S3. Para evitar el [problema de suplantación de privilegios entre servicios](cross-service-confused-deputy-prevention.md), recomendamos usar las claves de contexto de condición global de [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) en la política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111111111111"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:111111111111:*"
}
}
}
]
}
```
------
### Ejemplo 2: Permite DataSync leer y escribir en tu bucket de Amazon S3
El siguiente ejemplo de política otorga DataSync los permisos mínimos para leer y escribir datos en un bucket de S3 que se utiliza como ubicación de destino.
**nota**
El valor de `aws:ResourceAccount` debe ser el ID de la cuenta propietaria del bucket de Amazon S3 especificado en la política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
### Ejemplo 3: Permitir DataSync cargar registros a grupos de CloudWatch registros
DataSync requiere permisos para poder subir registros a tus grupos de CloudWatch registros de Amazon. Puede usar grupos de CloudWatch registros para monitorear y depurar sus tareas.
Para ver una política de IAM de ejemplo en la que se conceden dichos permisos, consulte [DataSync Permitir cargar registros a un grupo de CloudWatch registros](configure-logging.md#cloudwatchlogs).
# Uso de roles vinculados a servicios para DataSync
AWS DataSync [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. DataSync Los roles vinculados al servicio están predefinidos DataSync e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
**Topics**
+ [Uso de roles para DataSync](using-service-linked-roles-service-action-2.md)
# Uso de roles para DataSync
AWS DataSync [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. DataSync Los roles vinculados al servicio están predefinidos DataSync e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración DataSync , ya que no es necesario añadir manualmente los permisos necesarios. DataSync define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo DataSync puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus DataSync recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para DataSync
DataSync utiliza el rol vinculado al servicio denominado **AWSServiceRoleForDataSync**: permite realizar operaciones esenciales DataSync para transferir la ejecución de tareas, incluida la lectura de secretos de los eventos y grupos de registros y la creación de AWS Secrets Manager grupos de CloudWatch registros.
El rol AWSService RoleForDataSync vinculado al servicio confía en que los siguientes servicios asuman el rol:
+ `datasync.amazonaws.com`
El rol vinculado al servicio usa la política AWS administrada denominada [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy), que permite DataSync realizar las siguientes acciones en los recursos especificados:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DataSyncCloudWatchLogCreateAccess",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
]
},
{
"Sid": "DataSyncSecretsManagerReadAccess",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:aws-datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para DataSync
No necesita crear manualmente un rol vinculado a servicios. Al crear una DataSync tarea en la Consola de administración de AWS, la o la AWS API AWS CLI, se DataSync crea automáticamente el rol vinculado al servicio.
En la API AWS CLI o en la AWS API, puede crear una función vinculada al servicio con el nombre del servicio. `datasync.amazonaws.com` Para obtener más información, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una DataSync tarea, vuelve a DataSync crear el rol vinculado al servicio para usted.
Si elimina este rol vinculado a servicios, puede utilizar el mismo proceso de IAM para volver a crear el rol.
## Edición de un rol vinculado a un servicio para DataSync
DataSync no permite editar el rol vinculado al AWSService RoleForDataSync servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para DataSync
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpiar un rol vinculado a servicios
Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol.
**nota**
Si el DataSync servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar DataSync los recursos utilizados por el AWSService RoleForDataSync**
1. [Elimine los DataSync agentes](clean-up.md#deleting-agent) utilizados por la tarea (si los hay).
1. [Elimine las ubicaciones de la tarea](clean-up.md#deleting-location).
1. [Elimine la tarea](clean-up.md#delete-task).
### Eliminación manual de un rol vinculado a servicios
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSService RoleForDataSync servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio DataSync
DataSync admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Permisos para etiquetar los DataSync recursos durante la creación
Algunas acciones de la AWS DataSync API de creación de recursos te permiten especificar etiquetas al crear el recurso. Puede utilizar etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulta [¿Para qué sirve el ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
Para permitir que los usuarios etiqueten los recursos durante su creación, es preciso que tengan permisos para utilizar la acción que crea el recurso (por ejemplo, `datasync:CreateAgent` o `datasync:CreateTask`). Si se especifican etiquetas en la acción de creación de recursos, los usuarios también deben tener permisos explícitos para usar la acción `datasync:TagResource`.
La acción `datasync:TagResource` solo se evalúa si se aplican etiquetas durante la acción de creación de recursos. Por lo tanto, un usuario que tenga permisos para crear un recurso (suponiendo que no existan condiciones de etiquetado) no necesita permisos para utilizar la acción `datasync:TagResource` si no se especifica ninguna etiqueta en la solicitud.
Sin embargo, si el usuario intenta crear un recurso con etiquetas, la solicitud dará un error si el usuario no tiene permisos para utilizar la acción `datasync:TagResource`.
## Ejemplo de instrucciones de política de IAM
Utilice el siguiente ejemplo de declaraciones de política de IAM para conceder `TagResource` permisos a los usuarios que creen DataSync recursos.
La siguiente declaración permite a los usuarios etiquetar a un DataSync agente cuando lo crean.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
La siguiente declaración permite a los usuarios etiquetar una DataSync ubicación cuando la crean.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
La siguiente declaración permite a los usuarios etiquetar una DataSync tarea al crearla.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------
# Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.
Se recomienda utilizar las claves de contexto de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)y las claves de contexto en las políticas de recursos para limitar los permisos que se AWS DataSync otorgan a otro servicio al recurso. Si utiliza claves de contexto de condición global y el valor de `aws:SourceArn` contiene el ID de cuenta, el valor de `aws:SourceAccount` y la cuenta en el valor de `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utiliza en la misma instrucción de política. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios. Utilice `aws:SourceAccount` si quiere que cualquier recurso de esa cuenta se asocie al uso entre servicios.
El valor de `aws:SourceArn` debe incluir el ARN de DataSync ubicación con el que DataSync se puede asumir la función de IAM.
La forma más eficaz de protegerse contra el problema del suplente confuso es utilizar la clave de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo o si está especificando varios recursos, utilice los caracteres comodines (`*`) para las partes desconocidas. Estos son algunos ejemplos de cómo hacerlo para: DataSync
+ Para limitar la política de confianza a una DataSync ubicación existente, incluya el ARN completo de la ubicación en la política. DataSync asumirá la función de IAM solo cuando se trate de esa ubicación en particular.
+ Al crear una ubicación de Amazon S3 DataSync, no conoce el ARN de la ubicación. En estas situaciones, utilice el siguiente formato para la clave de `aws:SourceArn`: `arn:aws:datasync:us-east-2:123456789012:*`. Este formato valida la partición (`aws`), el identificador de cuenta y la región.
El siguiente ejemplo completo muestra cómo se pueden utilizar las claves de contexto `aws:SourceArn` y las condiciones `aws:SourceAccount` globales en una política de confianza para evitar el problema de los diputados confusos con DataSync ellas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-2:123456789012:*"
}
}
}
]
}
```
------
Para ver más ejemplos de políticas que muestran cómo se pueden utilizar las claves de contexto de condición `aws:SourceAccount` global `aws:SourceArn` y las claves contextuales con ellas DataSync, consulte los siguientes temas:
+ [Cree una relación de confianza que le permita acceder DataSync a su bucket de Amazon S3](using-identity-based-policies.md#datasync-example1)
+ [Para configurar manualmente un rol de IAM para acceder a su bucket de Amazon S3](create-s3-location.md#create-role-manually)