Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Device Farm
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de conformidad aplicables AWS Device Farm, consulte [Servicios de AWS dentro del alcance por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Device Farm. En los siguientes temas, se le mostrará cómo configurar Device Farm para satisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros servicios de AWS que le ayudarán a monitorear y a proteger los recursos de Device Farm.
**Topics**
+ [
# Administración de identidades y accesos en AWS Device Farm
](security-iam.md)
+ [
# Validación de conformidad en AWS Device Farm
](ATP-compliance.md)
+ [
# Protección de datos en AWS Device Farm
](data-protection.md)
+ [
# Resiliencia en AWS Device Farm
](disaster-recovery-resiliency.md)
+ [
# Seguridad de la infraestructura en AWS Device Farm
](infrastructure-security.md)
+ [
# Análisis y administración de vulnerabilidades de configuración en Device Farm
](security-vulnerability-analysis-and-management.md)
+ [
# Respuesta a incidentes en Device Farm
](security-incident-response.md)
+ [
# Registro y supervisión en Device Farm
](security-logging-monitoring.md)
+ [
# Prácticas recomendadas de seguridad para Device Farm
](security-best-practices.md)
# Administración de identidades y accesos en AWS Device Farm
## Público
La forma en que utilizas AWS Identity and Access Management (IAM) varía según tu función:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso a AWS Device Farm](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona AWS Device Farm con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en identidad de AWS Device Farm](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Cómo funciona AWS Device Farm con IAM
Antes de utilizar IAM para administrar el acceso a Device Farm, debe comprender qué características de IAM están disponibles para su uso con Device Farm. Para obtener una visión general de cómo funcionan Device Farm y otros AWS servicios con IAM, consulte [AWS Servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
**Topics**
+ [
## Políticas basadas en identidad de Device Farm
](#security_iam_service-with-iam-id-based-policies)
+ [
## Políticas basadas en recursos de Device Farm
](#security_iam_service-with-iam-resource-based-policies)
+ [
## Listas de control de acceso
](#security_iam_service-with-iam-acls)
+ [
## Autorización basada en etiquetas de Device Farm
](#security_iam_service-with-iam-tags)
+ [
## Roles de IAM en Device Farm
](#security_iam_service-with-iam-roles)
## Políticas basadas en identidad de Device Farm
Con las políticas basadas en identidades de IAM, puede especificar las acciones permitidas o denegadas, así como los recursos y las condiciones en las que se permiten o deniegan las acciones. Device Farm admite acciones, claves de condición y recursos específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de políticas de Device Farm utilizan el siguiente prefijo antes de la acción: `devicefarm:`. Por ejemplo, para conceder a alguien permiso para iniciar sesiones de Selenium con la operación de la API `CreateTestGridUrl` de Device Farm, incluya la acción `devicefarm:CreateTestGridUrl` en la política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Device Farm define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"devicefarm:action1",
"devicefarm:action2"
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `List`, incluya la siguiente acción:
```
"Action": "devicefarm:List*"
```
Para ver una lista de las acciones de Device Farm, consulte [Acciones definidas por AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-actions-as-permissions) en la *Referencia de autorizaciones de servicio de IAM*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
El recurso de instancia de Amazon EC2 tiene el siguiente ARN:
```
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
```
Para obtener más información sobre el formato de ARNs, consulte [Amazon Resource Names (ARNs) y AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por ejemplo, para especificar la instancia de `i-1234567890abcdef0` en su instrucción, utilice el siguiente ARN:
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
Para especificar todas las instancias que pertenecen a una cuenta, utilice el carácter comodín (\$1):
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
```
Algunas acciones de Device Farm, como las que se utilizan para crear recursos, no se pueden llevar a cabo en un recurso. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
En muchas acciones de la API de Amazon EC2 se utilizan varios recursos. Por ejemplo, `AttachVolume` asocia un volumen de Amazon EBS a una instancia, por lo que un usuario de IAM debe tener permisos para utilizar el volumen y la instancia. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"resource1",
"resource2"
```
Para ver una lista de los tipos de recursos de Device Farm y sus tipos ARNs, consulte los [tipos de recursos definidos AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-resources-for-iam-policies) en la *Referencia de autorización de servicios de IAM*. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-actions-as-permissions) en la *Referencia de autorizaciones de servicio de IAM*.
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Device Farm define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del *usuario de IAM*.
Para ver una lista de las claves de condición de Device Farm, consulte [Claves de condición para AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-policy-keys) en la *Referencia de autorizaciones de servicio de IAM*. Para saber con qué acciones y recursos puede usar una clave de condición, consulte [Acciones definidas por AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-actions-as-permissions) en la *Referencia de autorizaciones de servicio de IAM*.
### Ejemplos
Para ver ejemplos de políticas basadas en identidad de Device Farm, consulte [Ejemplos de políticas basadas en identidad de AWS Device Farm](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos de Device Farm
Device Farm no admite las políticas basadas en recursos.
## Listas de control de acceso
Device Farm no admite listas de control de acceso (ACLs).
## Autorización basada en etiquetas de Device Farm
Puede adjuntar etiquetas a los recursos de Device Farm o transferirlas en una solicitud a Device Farm. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información acerca del etiquetado de recursos de Device Farm, consulte [Etiquetado de recursos en AWS Device Farm](tagging.md).
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Visualización de proyectos de pruebas de navegadores de escritorio de Device Farm basados en etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-project-tags).
## Roles de IAM en Device Farm
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos.
### Uso de credenciales temporales con Device Farm
Device Farm admite el uso de credenciales temporales.
Puede utilizar credenciales temporales para iniciar sesión con federación para asumir un rol de IAM o un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Device Farm utiliza funciones vinculadas a servicios en la característica de pruebas del navegador de escritorio Device Farm. Para obtener información sobre estas funciones, consulte [Uso de funciones vinculadas a servicios en las pruebas del navegador de escritorio de Device Farm](https://docs.aws.amazon.com//devicefarm/latest/testgrid/using-service-linked-roles.html) en la guía para desarrolladores.
### Roles de servicio
Device Farm no admite roles de servicio.
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
En la siguiente tabla se exponen las políticas administradas de AWS de Device Farm.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSDeviceFarmFullAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSDeviceFarmFullAccess$jsonEditor) | Proporciona acceso completo a todas las operaciones de AWS Device Farm. | 15 de julio de 2015 |
| [AWSServiceRoleForDeviceFarmTestGrid](https://docs.aws.amazon.com//devicefarm/latest/testgrid/using-service-linked-roles.html) | Permite que Device Farm acceda a los recursos de AWS en su nombre. | 20 de mayo de 2021 |
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Ejemplos de políticas basadas en identidad de AWS Device Farm
De forma predeterminada, los usuarios y los roles de IAM no tienen permiso para crear, ver ni modificar recursos de Device Farm. Tampoco pueden realizar tareas con la Consola de administración de AWS AWS CLI, o la AWS API. Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [
## Prácticas recomendadas relativas a políticas
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Cómo permitir a los usuarios consultar sus propios permisos
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Acceso a un proyecto de prueba de explorador de escritorio de Device Farm
](#security_iam_id-based-policy-examples-access-one-project)
+ [
## Visualización de proyectos de pruebas de navegadores de escritorio de Device Farm basados en etiquetas
](#security_iam_id-based-policy-examples-view-project-tags)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Device Farm de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos en muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Acceso a un proyecto de prueba de explorador de escritorio de Device Farm
En este ejemplo, quiere conceder a un usuario de IAM de su AWS cuenta acceso a uno de sus proyectos de prueba del navegador de escritorio de Device Farm,. `arn:aws:devicefarm:us-west-2:111122223333:testgrid-project:123e4567-e89b-12d3-a456-426655441111` Desea que la cuenta pueda ver elementos relacionados con el proyecto.
Además del punto de conexión `devicefarm:GetTestGridProject`, la cuenta debe tener los puntos de enlace `devicefarm:ListTestGridSessions`, `devicefarm:GetTestGridSession`, `devicefarm:ListTestGridSessionActions` y `devicefarm:ListTestGridSessionArtifacts`.
Si utiliza sistemas de CI, debe proporcionar a cada corredor de CI credenciales de acceso únicas. Por ejemplo, es poco probable que un sistema de CI necesite más permisos que `devicefarm:ScheduleRun` o `devicefarm:CreateUpload`. La siguiente política de IAM describe una política mínima para permitir que un programa de ejecución de CI comience una prueba de aplicación nativa de Device Farm creando una carga y utilizándola para programar una ejecución de prueba:
## Visualización de proyectos de pruebas de navegadores de escritorio de Device Farm basados en etiquetas
Puede utilizar las condiciones de su política basada en la identidad para controlar el acceso a los recursos de Device Farm basados en etiquetas. En este ejemplo se muestra cómo crear una política que permita la visualización de proyectos y sesiones. Se concede permiso si la etiqueta `Owner` del recurso solicitado coincide con el nombre de usuario de la cuenta solicitante.
También puede asociar esta política al usuario de IAM en su cuenta. Si un usuario denominado `richard-roe` intenta ver un proyecto o sesión de Device Farm, el proyecto debe tener la etiqueta `Owner=richard-roe` o `owner=richard-roe`. De lo contrario, se deniega el acceso al usuario. La clave de la etiqueta de condición `Owner` coincide con los nombres de las claves de condición `Owner` y `owner` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
# Solución de problemas de identidad y acceso a AWS Device Farm
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con Device Farm e IAM.
## No tengo autorización para realizar una acción en Device Farm
Si recibe un error en el Consola de administración de AWS que se indica que no está autorizado a realizar una acción, debe ponerse en contacto con el administrador para obtener ayuda. Su administrador es la persona que le facilitó su nombre de usuario y contraseña.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM, `mateojackson`, intenta utilizar la consola para ver detalles sobre una ejecución, pero no tiene permisos de `devicefarm:GetRun`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: devicefarm:GetRun on resource: arn:aws:devicefarm:us-west-2:123456789101:run:123e4567-e89b-12d3-a456-426655440000/123e4567-e89b-12d3-a456-426655441111
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al `devicefarm:GetRun` del recurso `arn:aws:devicefarm:us-west-2:123456789101:run:123e4567-e89b-12d3-a456-426655440000/123e4567-e89b-12d3-a456-426655441111` mediante la acción `devicefarm:GetRun`.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, se deben actualizar las políticas para permitirle pasar un rol a Device Farm.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Device Farm. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero ver mis claves de acceso
Después de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso en cualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave de acceso secreta, debe crear un nuevo par de claves de acceso.
Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, `AKIAIOSFODNN7EXAMPLE`) y una clave de acceso secreta (por ejemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con el mismo nivel de seguridad que para el nombre de usuario y la contraseña.
**importante**
No proporcione las claves de acceso a terceros, ni siquiera para que lo ayuden a [buscar el ID de usuario canónico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). De este modo, podrías dar a alguien acceso permanente a tu Cuenta de AWS.
Cuando crea un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de su creación. Si pierde la clave de acceso secreta, debe agregar nuevas claves de acceso a su usuario de IAM. Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de claves antes de crear una nueva. Para consultar las instrucciones, consulte [Administración de claves de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) en la *Guía del usuario de IAM*.
## Soy administrador y deseo permitir que otros obtengan acceso a Device Farm
Para permitir que otras personas accedan a Device Farm, debe conceder permiso a las personas o aplicaciones que necesiten acceder. Si usa AWS IAM Identity Center para administrar las personas y las aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
Si no utiliza IAM Identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debe asociar una política a la entidad que le conceda los permisos correctos en Device Farm. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Device Farm
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para obtener información acerca de si Device Farm admite estas características, consulte [Cómo funciona AWS Device Farm con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Validación de conformidad en AWS Device Farm
Auditores externos evalúan la seguridad y la conformidad de AWS Device Farm como parte de varios programas de conformidad de AWS. Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros. AWS Device Farm no está al alcance de ningún programa de cumplimiento de AWS.
Para obtener una lista de servicios de AWS en el ámbito de programas de conformidad específicos, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/). Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
Puedes descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Su responsabilidad en el ámbito de la conformidad al usar Device Farm viene determinada por la confidencialidad de los datos, los objetivos de conformidad de su empresa y las leyes y regulaciones aplicables. AWS proporciona los siguientes recursos para ayudarlo con los requisitos de conformidad:
+ [Guías de inicio rápido de seguridad y conformidad](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estas guías de implementación tratan consideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.
+ [Recursos de conformidad de AWS](https://aws.amazon.com/compliance/resources/): este conjunto de manuales y guías podría aplicarse a su sector y ubicación.
+ [Evaluación de recursos con reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) en la *Guía para desarrolladores de AWS Config*: AWS Config evalúa en qué medida las configuraciones de sus recursos cumplen las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): este servicio de AWS proporciona una vista integral de su estado de seguridad en AWS que lo ayuda a verificar si cumple con los estándares y las buenas prácticas de seguridad de la industria.
# Protección de datos en AWS Device Farm
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS Device Farm (Device Farm). Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabajas con Device Farm u otro dispositivo Servicios de AWS mediante la consola AWS CLI, la API o AWS SDKs. Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
## Cifrado en tránsito
Los puntos finales de Device Farm solo admiten HTTPS () SSL/TLS) requests except where otherwise noted. All content retrieved from or placed in Amazon S3 through upload URLs is encrypted using SSL/TLS firmados. Para obtener más información sobre cómo se inicia sesión en las solicitudes HTTPS AWS, consulte [Firmar solicitudes de AWS API](https://docs.aws.amazon.com//general/latest/gr/signing_aws_api_requests.html) en la Referencia AWS general.
Es responsabilidad suya cifrar y proteger cualquier comunicación que realicen sus aplicaciones probadas, así como cualquier aplicación instalada en el proceso de ejecución de pruebas en el dispositivo.
## Cifrado en reposo
La característica de prueba del navegador de escritorio de Device Farm admite el cifrado en reposo de los artefactos generados durante las pruebas.
Los datos de prueba de dispositivos móviles físicos de Device Farm no están cifrados en reposo.
## Retención de datos
Los datos en Device Farm se conservan durante un tiempo limitado. Cuando venza el periodo de retención, los datos se eliminarán del almacenamiento de copia de seguridad de Device Farm.
| Tipo de contenido | Periodo de retención (días) | Periodo de retención de metadatos (días) |
| --- | --- | --- |
| Aplicaciones cargadas | 30 | 30 |
| Paquetes de prueba cargados | 30 | 30 |
| Registros | 400 | 400 |
| Grabaciones de video y otros artefactos | 400 | 400 |
Es su responsabilidad archivar cualquier contenido que desee conservar durante períodos más largos.
## Administración de datos
Los datos en Device Farm se administran de manera diferente según las características que se utilicen. En esta sección se explica cómo se administran los datos mientras se utiliza Device Farm y después de usarlo.
### Pruebas del explorador de escritorio
Las instancias utilizadas durante las sesiones de Selenium no se guardan. Todos los datos generados como resultado de las interacciones del navegador se descartan cuando finaliza la sesión.
Actualmente, esta característica admite el cifrado en reposo para los artefactos generados durante la prueba.
### Pruebas de dispositivos físicos
En las siguientes secciones se proporciona información sobre los AWS pasos necesarios para limpiar o destruir los dispositivos después de haber utilizado Device Farm.
Los datos de prueba de dispositivos móviles físicos de Device Farm no están cifrados en reposo.
#### Flotas de dispositivos públicos
Una vez completada la ejecución de prueba, Device Farm realiza una serie de tareas de limpieza en cada dispositivo de la flota de dispositivos públicos, incluida la desinstalación de la aplicación. Si no podemos verificar la desinstalación de la aplicación o de cualquiera de los demás pasos de limpieza, el dispositivo se restablece a sus valores de fábrica antes de volver a ponerlo en uso.
**nota**
Es posible que, en algunos casos, los datos persistan de una sesión a otra, especialmente si utiliza el sistema de dispositivos de fuera del contexto de la aplicación. Por este motivo, y dado que Device Farm captura video y registros de la actividad que se produce durante el uso de cada dispositivo, recomendamos que evite escribir información confidencial (por ejemplo, una cuenta de Google o un ID de Apple), datos personales y otros detalles confidenciales de seguridad durante la prueba automatizada y las sesiones de acceso remoto.
#### Dispositivos privados
Tras el vencimiento o la resolución del contrato de dispositivo privado, el dispositivo se deja de usar y se destruye de forma segura de conformidad con las políticas de destrucción de AWS. Para obtener más información, consulte [Dispositivos privados en AWS Device Farm](working-with-private-devices.md).
## Administración de claves
Actualmente, Device Farm no ofrece ninguna gestión de claves externa para el cifrado de datos, en reposo o en tránsito.
## Privacidad del tráfico entre redes
Device Farm se puede configurar solo para dispositivos privados, para usar puntos de conexión de VPC de Amazon para conectarse a sus recursos en AWS. El acceso a cualquier AWS infraestructura no pública asociada a su cuenta (por ejemplo, EC2 instancias de Amazon sin una dirección IP pública) debe utilizar un punto de enlace de Amazon VPC. Independientemente de la configuración del punto de conexión de VPC, Device Farm aísla el tráfico de otros usuarios de la red de Device Farm.
No se garantiza que sus conexiones fuera de la AWS red estén protegidas o seguras, y es su responsabilidad proteger cualquier conexión a Internet que establezcan sus aplicaciones.
# Resiliencia en AWS Device Farm
La infraestructura global de AWS se compone de regiones y zonas de disponibilidad de AWS. AWS Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre las regiones y zonas de disponibilidad de AWS, consulte [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Dado que Device Farm solo está disponible en la región de `us-west-2`, recomendamos encarecidamente que implemente procesos de copia de seguridad y recuperación. Device Farm no debe ser la única fuente de contenido cargado.
Device Farm no garantiza la disponibilidad de dispositivos públicos. Estos dispositivos se toman dentro y fuera del grupo de dispositivos públicos en función de varios factores, como la tasa de fallos y el estado de cuarentena. No recomendamos que dependa de la disponibilidad de un dispositivo en el grupo de dispositivos público.
# Seguridad de la infraestructura en AWS Device Farm
Como servicio gestionado, AWS Device Farm está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Las llamadas a la API AWS publicadas se utilizan para acceder a Device Farm a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
## Seguridad de la infraestructura para pruebas de dispositivos físicos
Los dispositivos se separan físicamente durante las pruebas de dispositivos físicos. El aislamiento de la red impide la comunicación entre dispositivos a través de redes inalámbricas.
Los dispositivos públicos se comparten y Device Farm hace un gran esfuerzo para garantizar la seguridad de los dispositivos a lo largo del tiempo. Algunas acciones, como los intentos de adquirir derechos de administrador completos en un dispositivo (práctica denominada *rooting* o *jailbreaking*), hacen que los dispositivos públicos se pongan en cuarentena. Se eliminan automáticamente del grupo público y se colocan en revisión manual.
Solo pueden acceder a los dispositivos privados las AWS cuentas que estén explícitamente autorizadas a hacerlo. Device Farm aísla físicamente estos dispositivos de otros dispositivos y los mantiene en una red separada.
En los dispositivos gestionados de forma privada, las pruebas se pueden configurar para usar un punto de conexión de Amazon VPC para proteger las conexiones de entrada y salida de su AWS cuenta.
## Pruebas de seguridad de la infraestructura para exploradores de escritorio
Cuando utiliza la función de pruebas del explorador de escritorio, todas las sesiones de prueba se separan entre sí. Las instancias de Selenium no pueden comunicarse entre sí sin un tercero intermediario, externo a él. AWS
Todo el tráfico a los WebDriver controladores de Selenium debe realizarse a través del punto final HTTPS generado con. `createTestGridUrl`
Usted es responsable de asegurarse de que cada instancia de prueba de Device Farm tiene acceso seguro a los recursos de la prueba. De forma predeterminada, las instancias de prueba del navegador de escritorio de Device Farm tienen acceso al Internet público. Al asociar la instancia a una VPC, esta se comporta como cualquier otra instancia de EC2, con acceso a los recursos determinados por la configuración de la VPC y sus componentes de red asociados. AWS proporciona [grupos de seguridad](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html) y [listas de control de acceso a la red (ACLs)](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-network-acls.html) para aumentar la seguridad de su VPC. Los grupos de seguridad controlan el tráfico entrante y saliente de sus recursos, y la red ACLs controla el tráfico entrante y saliente de sus subredes. Los grupos de seguridad proporcionan suficiente control de acceso para la mayoría de las subredes. Puede usar la red ACLs si desea una capa de seguridad adicional para su VPC. Para obtener directrices generales sobre las prácticas recomendadas de seguridad al utilizar Amazon VPCs, consulte [las prácticas recomendadas de seguridad](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-best-practices.html) para su VPC en la Guía del *usuario de Amazon Virtual Private Cloud*.
# Análisis y administración de vulnerabilidades de configuración en Device Farm
Device Farm le permite ejecutar software que el proveedor no mantenga ni repare activamente, como el proveedor del sistema operativo, el proveedor de hardware o el operador de telefonía. Device Farm hace todo lo posible por mantener el software actualizado, pero no garantiza que alguna versión concreta del software de un dispositivo físico esté actualizada, ya que su diseño permite utilizar software potencialmente vulnerable.
Por ejemplo, si se realiza una prueba en un dispositivo con Android 4.4.2, Device Farm no garantiza que el dispositivo esté parcheado contra la [vulnerabilidad en Android conocida como](https://en.wikipedia.org/wiki/Stagefright_(bug)). StageFright Depende del proveedor (y, a veces, del operador) del dispositivo proporcionar actualizaciones de seguridad a los dispositivos. No se garantiza que una aplicación maliciosa que use esta vulnerabilidad sea atrapada por nuestra cuarentena automatizada.
Los dispositivos privados se mantienen según lo acordado con usted. AWS
Device Farm hace todo lo posible para evitar que las aplicaciones de los clientes realicen acciones como el *rooteo* o el *jailbreak*. Device Farm elimina los dispositivos que están en cuarentena del grupo público hasta que se hayan revisado manualmente.
Usted es responsable de mantener actualizadas todas las bibliotecas o versiones de software que utilice en sus pruebas, como Python Wheels y Ruby Gems. Device Farm recomienda actualizar las bibliotecas de prueba.
Estos recursos pueden ayudar a mantener sus dependencias de prueba actualizadas:
+ Para obtener información sobre cómo proteger las gemas de Ruby, consulta [las prácticas de seguridad](https://guides.rubygems.org/security/) en el RubyGems sitio web.
+ Para obtener información sobre el paquete de seguridad utilizado por Pipenv y respaldado por la Autoridad de Empaquetado de Python para analizar su gráfico de dependencias en busca de vulnerabilidades conocidas, consulte [Detección de vulnerabilidades de seguridad](https://github.com/pypa/pipenv/blob/master/docs/advanced.rst#-detection-of-security-vulnerabilities) en. GitHub
+ [Para obtener información sobre el comprobador de dependencias de Maven del Open Web Application Security Project (OWASP), consulte OWASP en el sitio web de OWASP. DependencyCheck](https://owasp.org/www-project-dependency-check/)
Es importante recordar que incluso si un sistema automatizado no cree que haya problemas de seguridad conocidos, esto no significa que no haya problemas de seguridad. Siempre use la debida diligencia cuando use bibliotecas o herramientas de terceros y verifique las firmas criptográficas cuando sea posible o razonable.
# Respuesta a incidentes en Device Farm
Device Farm supervisa continuamente los dispositivos para detectar comportamientos que puedan indicar problemas de seguridad. Si AWS tiene conocimiento de un caso en el que otro cliente puede acceder a los datos de un cliente, como los resultados de las pruebas o los archivos escritos en un dispositivo público, se pone en AWS contacto con los clientes afectados de acuerdo con las políticas estándar de alerta e informe de incidentes que se utilizan en todos los servicios. AWS
# Registro y supervisión en Device Farm
Este servicio admite AWS CloudTrail, que es un servicio que graba sus AWS llamadas Cuenta de AWS y entrega los archivos de registro a un bucket de Amazon S3. Al usar la información recopilada por CloudTrail, puede determinar qué solicitudes se realizaron correctamente Servicios de AWS, quién realizó la solicitud, cuándo se realizó, etc. Para obtener más información sobre CloudTrail cómo activarlo y encontrar los archivos de registro, consulta la [Guía del AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Para obtener información sobre el uso CloudTrail con Device Farm, consulte[Registro de llamadas a la API de AWS Device Farm con AWS CloudTrail](logging-using-cloudtrail.md).
# Prácticas recomendadas de seguridad para Device Farm
Device Farm proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
+ Conceda a cualquier sistema de integración continua (CI) que utilice el menor privilegio posible en IAM. Plantéese el uso de credenciales temporales para cada prueba del sistema de CI para que incluso si un sistema de CI está comprometido, no pueda realizar solicitudes falsas. Para obtener más información sobre las credenciales temporales, consulte la [Guía del usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerole).
+ Utilice comandos `adb` en un entorno de prueba personalizado para limpiar cualquier contenido que cree su aplicación. Para obtener más información sobre entornos de prueba personalizados, consulte [Personalización del entorno de pruebas personalizado en AWS Device Farm.](custom-test-environments.md).