Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Seguridad en Amazon FSx
<a name="security"></a>

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la nube de Amazon Web Services. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de conformidad que se aplican a Amazon FSx for Windows File Server, consulte [AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables. 

Esta documentación le ayuda a entender cómo aplicar el modelo de responsabilidad compartida al utilizar Amazon FSx for Windows File Server. En los temas siguientes se muestra cómo configurar Amazon FSx for Windows File Server para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger los recursos de Amazon FSx for Windows File Server. 

**Topics**
+ [Protección de datos en Amazon FSx para Windows File Server](data-protection-encryption.md)
+ [Control de acceso a nivel de archivos y carpetas mediante Windows ACLs](limit-access-file-folder.md)
+ [Control de acceso al sistema de archivos con Amazon VPC](limit-access-security-groups.md)
+ [Registro del acceso de usuarios finales con auditoría de acceso a archivos](file-access-auditing.md)
+ [Administración de identidades y accesos para Amazon FSx para Windows File Server](security-iam.md)
+ [Validación de conformidad de Amazon FSx para Windows File Server](fsx-compliance.md)
+ [Amazon FSx para Windows File Server y puntos de conexión de VPC de interfaz](fsx-vpc-endpoints.md)

# Protección de datos en Amazon FSx para Windows File Server
<a name="data-protection-encryption"></a>

El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) de AWS se aplica a la protección de datos en Amazon FSx para Windows File Server. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.

Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con FSx para Windows File Server u otros Servicios de AWS mediante la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.



## Cifrado de datos en FSx para Windows File Server
<a name="data-encryption"></a>

Amazon FSx para Windows File Server admite el cifrado de los datos en reposo y el cifrado de los datos en tránsito. El cifrado de los datos en reposo se activa de forma automática al crear un sistema de archivos Amazon FSx. El cifrado de los datos en tránsito se admite en los recursos compartidos de archivos que están mapeados en una instancia informática compatible con el protocolo SMB 3.0 o posterior. Amazon FSx cifra de manera automática los datos en tránsito con el cifrado SMB, cuando el usuario accede al sistema de archivos, sin necesidad de modificar las aplicaciones.

### Cuando utilizar el cifrado
<a name="whenencrypt"></a>

Si su organización está sujeta a políticas reglamentarias o corporativas que requieren el cifrado de datos y metadatos en reposo, recomendamos crear un sistema de archivos cifrados montando el sistema de archivos con el cifrado de datos en tránsito.

Si su organización está sujeta a políticas corporativas o reglamentarias que exigen el cifrado de los datos y metadatos en reposo, sus datos se cifran automáticamente en reposo. También le recomendamos que habilite el cifrado de los datos en tránsito montando su sistema de archivos mediante el cifrado de los datos en tránsito.

# Cifrado de datos en reposo
<a name="encryption-at-rest"></a>

Todos los sistemas de archivos de Amazon FSx están cifrados en reposo con claves administradas mediante AWS Key Management Service (AWS KMS). Los datos se cifran de manera automática antes de escribirse en el sistema de archivos y se descifran de la misma manera a medida que se leen. Estos procesos los administra Amazon FSx de forma transparente, por lo que no tiene que modificar las aplicaciones.

Amazon FSx utiliza un algoritmo de cifrado AES-256 estándar de la industria para cifrar los datos y metadatos en reposo de Amazon FSx. Para obtener más información, consulte los [Conceptos básicos de la criptografía](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) en la *Guía del desarrollador de AWS Key Management Service*.

**nota**  
La infraestructura de gestión de claves de AWS utiliza algoritmos criptográficos aprobados por el estándar de procesamiento de la información federal (FIPS) 140-2. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.

## Cómo Amazon FSx utiliza AWS KMS
<a name="EFSKMS"></a>

Amazon FSx se integra con AWS KMS para la administración de claves. Amazon FSx utiliza un AWS KMS key para cifrar el sistema de archivos. Usted elige la clave del KMS que se utiliza para cifrar y descifrar los sistemas de archivos (tanto de datos como de metadatos). Puede habilitar, deshabilitar o revocar concesiones en esta clave de KMS. Esta clave del KMS puede ser de uno de los dos siguientes tipos:
+ **Clave administrada de AWS** – esta es la clave del KMS predeterminada, y su uso es gratuito.
+ **Clave administrada por el cliente**: se trata de la clave del KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información acerca de la creación de claves administradas por el cliente, consulte la [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la* Guía para desarrolladores de AWS Key Management Service*.

Si utiliza una clave administrada por el cliente como clave de KMS para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave del KMS. Para obtener más información, consulte [Rotación de AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) en la *Guía para desarrolladores de AWS Key Management Service*.

## Políticas de claves de Amazon FSx para AWS KMS
<a name="FSxKMSPolicy"></a>

Las políticas de claves son la forma principal de controlar el acceso a las claves KMS. Para obtener más información sobre las políticas de claves, consulte [Uso de las políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la * Guía para desarrolladores de AWS Key Management Service. *En la siguiente lista se describen todos los permisos relacionados con AWS KMS que Amazon FSx admite para sistemas de archivos cifrados en reposo:
+ **kms:Encrypt** - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.
+ **kms: Decrypt**: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.
+ **kms:ReEncrypt**: (opcional) cifra datos del lado del servidor con una nueva clave de KMS, sin exponer el texto no cifrado de los datos en el lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.
+ **kms:GenerateDataKeyWithoutPlaintext**: (obligatorio) devuelve una clave de cifrado de datos cifrada con una clave de KMS. Este permiso está incluido en la política de claves predeterminada en **kms:GenerateDataKey\$1**.
+ **kms:CreateGrant**: (obligatorio) añade una concesión a una clave para especificar quién puede utilizar la clave y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte [Uso de concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la Guía para desarrolladores de AWS Key Management Service. Este permiso está incluido en la política de claves predeterminada.
+ **kms:DescribeKey**: (obligatorio) proporciona información detallada acerca de la clave de KMS especificada. Este permiso está incluido en la política de claves predeterminada.
+ **kms:ListAliases** - (opcional): muestra todos los alias de clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista de claves KMS. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.

# Cifrado de datos en tránsito
<a name="encryption-in-transit"></a>

El cifrado de los datos en tránsito se admite en los recursos compartidos de archivos que están mapeados en una instancia informática compatible con el protocolo SMB 3.0 o posterior. Esto incluye todas las versiones de Windows a partir de Windows Server 2012 y Windows 8, y todos los clientes Linux con el cliente Samba versión 4.2 o posterior. Amazon FSx para Windows File Server cifra de manera automática los datos en tránsito mediante el cifrado SMB, cuando accede al sistema de archivos sin necesidad de modificar las aplicaciones.

El cifrado SMB utiliza AES-128-GCM o AES-128-CCM como algoritmo de cifrado (se elige la variante GCM si el cliente es compatible con SMB 3.1.1) y, además, garantiza la integridad de los datos de la firma mediante claves de sesión SMB Kerberos. El uso de AES-128-GCM mejora el rendimiento, por ejemplo, duplica el rendimiento al copiar archivos de gran tamaño a través de conexiones SMB cifradas.

Para cumplir con los requisitos de conformidad que obligan a cifrar siempre los datos en tránsito, el usuario puede limitar el acceso al sistema de archivos para únicamente permitir el acceso a los clientes que admiten el cifrado SMB. También, puede activar o desactivar el cifrado en tránsito para cada recurso compartido de archivos o para todo el sistema de archivos. Esto le permite tener una combinación de recursos compartidos de archivos cifrados y no cifrados en el mismo sistema de archivos.

## Administración del cifrado en tránsito
<a name="manage-encrypt-in-transit"></a>

Puede usar un conjunto de comandos personalizados de PowerShell para controlar el cifrado de los datos en tránsito entre el sistema de archivos de FSx para Windows File Server y los clientes. Puede limitar el acceso al sistema de archivos únicamente a los clientes que admitan el cifrado SMB, de modo que los datos en tránsito estén siempre cifrados. Cuando se activa la aplicación del cifrado de los datos en tránsito, los usuarios que accedan al sistema de archivos desde clientes que no admiten el cifrado SMB 3.0 no podrán acceder a los archivos compartidos en los que el cifrado esté activado.

También puede controlar el cifrado de los datos en tránsito a nivel de recurso compartido en lugar de a nivel de servidor de archivos. Puede utilizar los controles de cifrado a nivel de recursos compartidos de archivos para tener una combinación de recursos compartidos de archivos cifrados y no cifrados en el mismo sistema de archivos si desea aplicar el cifrado en tránsito para algunos recursos compartidos de archivos que contienen datos confidenciales y permitir que todos los usuarios accedan a otros recursos compartidos de archivos. El cifrado de todo el servidor tiene prioridad sobre el cifrado a nivel de recursos compartidos. Si el cifrado global está activado, no se puede deshabilitar de forma selectiva el cifrado para determinados recursos compartidos.

Puede administrar el cifrado en tránsito en su sistema de archivos mediante la CLI de Amazon FSx para la administración remota en PowerShell. Para obtener información sobre cómo utilizar esta CLI, consulte [Uso de Amazon FSx CLI para PowerShell](administering-file-systems.md#remote-pwrshell). 

A continuación, se muestran los comandos que puede utilizar para administrar el cifrado en tránsito de los usuarios en su sistema de archivos.


| Cifrado en comando de tránsito | Descripción | 
| --- | --- | 
|  **Get-FSxSmbServerConfiguration**  |  Recupera la configuración de bloque de mensajes del servidor (SMB). En la respuesta del sistema, puede determinar la configuración del cifrado en tránsito del sistema de archivos en función de los valores de las propiedades `EncryptData` y `RejectUnencryptedAccess`.  | 
|  **Set-FSxSmbServerConfiguration**  |  Este comando tiene dos opciones para configurar el cifrado en tránsito de forma global en el sistema de archivos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/encryption-in-transit.html)  | 
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | Defina este parámetro como `True` para activar el cifrado de datos en tránsito. Defina este parámetro como `False` para desactivar el cifrado de datos en tránsito. | 

La ayuda en línea de cada comando brinda una referencia de todas las opciones de comando. Para acceder a esta ayuda, ejecute el comando con **-?**, por ejemplo, **Get-FSxSmbServerConfiguration -?**. 

# Control de acceso a nivel de archivos y carpetas mediante Windows ACLs
<a name="limit-access-file-folder"></a>

Amazon FSx para Windows File Server admite la autenticación basada en la identidad a través del protocolo Server Message Block (SMB) a través de Microsoft Active Directory. Active Directory es el servicio de directorio de Microsoft para almacenar información de los objetos de la red y para facilitarles la búsqueda y el uso de dicha información a los administradores y usuarios. Estos objetos suelen incluir recursos compartidos, como los servidores de archivos, y las cuentas de usuario y equipo de la red. Para obtener más información sobre la compatibilidad con Active Directory en Amazon FSx, consulte[Trabajar con Microsoft Active Directory](aws-ad-integration-fsxW.md).

Sus instancias informáticas unidas a un dominio pueden acceder a los recursos compartidos de FSx archivos de Amazon mediante las credenciales de Active Directory. Utiliza las listas de control de acceso estándar de Windows (ACLs) para un control de acceso detallado a nivel de archivos y carpetas. Los sistemas de FSx archivos de Amazon verifican automáticamente las credenciales de los usuarios que acceden a los datos del sistema de archivos para aplicar estos Windows ACLs.

 Todos los sistemas de FSx archivos de Amazon vienen con un recurso compartido de archivos de Windows predeterminado llamado`share`. Las ventanas de esta carpeta compartida están configuradas ACLs para permitir el read/write acceso a **los usuarios autenticados**, incluidos los usuarios del dominio al que está unido el sistema de archivos y los usuarios de los dominios con una relación de confianza. También, las ACL permiten que el grupo de administradores delegados de Active Directory, al que se le delegó la tarea de realizar acciones administrativas en los sistemas de archivos, tenga el control total. Si va a integrar su sistema de archivos con Microsoft AD AWS administrado, este grupo se denomina FSx Administradores AWS delegados. Si va a integrar el sistema de archivos a la configuración del Microsoft AD autoadministrado, este grupo puede ser Administradores de dominio. O puede ser algún grupo de administradores delegados personalizado que haya especificado cuando creó el sistema de archivos. Para cambiarlo ACLs, puede asignar el recurso compartido como un usuario que sea miembro del grupo de administradores delegados. 


|  | 
| --- |
|  Amazon FSx requiere que el usuario del SISTEMA tenga permisos de ACL de NTFS de **control total** en todas las carpetas del sistema de archivos. No cambie los permisos de las ACL de NTFS de este usuario en sus carpetas. Si lo hace, el recurso compartido de archivos se puede volver inaccesible e impedir que se puedan utilizar las copias de seguridad del sistema de archivos.   | 

## Vínculos relacionados
<a name="ad-related-topics"></a>
+ [¿Qué es AWS Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) en la Guía AWS Directory Service de administración.
+ [Cree su directorio AWS administrado de Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) en la *Guía de AWS Directory Service administración*.
+ [Cuándo crear una relación de confianza](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) en la *Guía de administración de AWS Directory Service *.
+ [Paso 1. Configuración de un Active Directory](getting-started.md#prereq-step1).

# Control de acceso al sistema de archivos con Amazon VPC
<a name="limit-access-security-groups"></a>

El acceso al sistema de FSx archivos de Amazon se realiza a través de una interfaz de red elástica. Esta interfaz de red reside en la nube privada virtual (VPC) basada en el servicio Amazon Virtual Private Cloud (Amazon VPC) que asocia al sistema de archivo. Te conectas a tu sistema de FSx archivos de Amazon a través de su nombre de Domain Name Service (DNS). El nombre del DNS se asigna a la dirección IP privada de la interface de red elástica del sistema de archivos en la VPC. Solo los recursos de la VPC asociada, los recursos conectados a la VPC asociada mediante una VPN Direct Connect o los recursos de la VPC interconectada VPCs pueden acceder a la interfaz de red del sistema de archivos. Para obtener más información, consulte [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) en la *Guía del usuario de Amazon VPC*. 

**aviso**  
No debe modificar ni eliminar las interfaces elásticas de red asociadas al sistema de archivos. Si se modifica o elimina la interfaz de red, se puede provocar una pérdida permanente de la conexión entre la VPC y el sistema de archivos.

FSx para Windows File Server admite el uso compartido de VPC, lo que le permite ver, crear, modificar y eliminar recursos de una subred compartida en una VPC propiedad de otra cuenta. AWS Para obtener más información, consulte [Trabajar con contenido compartido VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la Guía del *usuario de Amazon VPC*.

## Grupos de seguridad de Amazon VPC
<a name="fsx-vpc-security-groups"></a>

 Utilice los grupos de seguridad para limitar el acceso a los sistemas de archivos. De esta manera, podrá ejercer un control más estricto del tráfico de la red que pasa por las interfaces de red elásticas del sistema de archivos dentro de la VPC. Un *grupo de seguridad* es un firewall con estado que controla el tráfico hacia y desde las interfaces de red asociadas. En este caso, el recurso asociado son las interfaces de red del sistema de archivos. 

 Para usar un grupo de seguridad para controlar el acceso a tu sistema de FSx archivos de Amazon, añade reglas de entrada y salida. Las reglas de entrada controlan el tráfico que ingresa a la instancia, y las de salida, el que sale. Asegúrese de tener las reglas de tráfico de red correctas en su grupo de seguridad para asignar el recurso compartido de FSx archivos de su sistema de archivos de Amazon a una carpeta de la instancia de procesamiento compatible. 

Para obtener más información sobre las reglas del grupo de seguridad, consulte las [reglas del grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules) en la *guía del usuario de Amazon EC2*.

**Para crear un grupo de seguridad para Amazon FSx**

1. [Abra la consola Amazon EC2 en https://console.aws.amazon.com /ec2.](https://console.aws.amazon.com/ec2)

1. En el panel de navegación, elija **Grupos de seguridad**.

1. Elija **Crear grupo de seguridad**.

1. Especifique un nombre y una descripción para el grupo de seguridad.

1. Para la **VPC**, elija la VPC de Amazon asociada al sistema de archivos para crear el grupo de seguridad dentro de esa VPC.

1. <a name="vpc-sg-step6"></a>Agregue las siguientes reglas para permitir el tráfico de red saliente en los siguientes puertos: 

   1. En el caso de los **grupos de seguridad de VPC**, el grupo de seguridad predeterminado de la Amazon VPC predeterminada ya está agregado al sistema de archivos en la consola. Asegúrese de que el grupo de seguridad y la red ACLs de VPC de las subredes en las que va a crear el sistema de FSx archivos permitan el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.  
![\[FSx para los requisitos de configuración de puertos del servidor de archivos de Windows para los grupos de seguridad de VPC y la red ACLs para las subredes en las que se crea el sistema de archivos.\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)

      En la siguiente tabla se identifica la función de cada puerto.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/limit-access-security-groups.html)
**importante**  
Es necesario permitir el tráfico saliente del puerto TCP 9389 para las implementaciones de sistemas de archivos Single-AZ 2 y Multi-AZ.

   1. Asegúrese de que estas reglas de tráfico también se reflejen en los firewalls que se aplican a cada uno de los controladores de dominio, servidores DNS, FSx clientes y administradores de AD. FSx 
**importante**  
Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las redes de VPC ACLs requieren que los puertos estén abiertos en ambas direcciones.
**nota**  
 Si tiene sitios de Active Directory definidos, debe asegurarse de que las subredes de la VPC asociadas a su sistema de archivos de FSx Amazon estén definidas en un sitio de Active Directory y de que no existan conflictos entre las subredes de su VPC y las subredes de sus otros sitios. Puede ver y cambiar esta configuración con el complemento MMC de sitios y servicios de Active Directory. 
**nota**  
En algunos casos, es posible que haya modificado las reglas de su grupo de seguridad de AWS Managed Microsoft AD con respecto a la configuración predeterminada. Si es así, asegúrate de que este grupo de seguridad tenga las reglas de entrada necesarias para permitir el tráfico desde tu sistema de FSx archivos de Amazon. *Para obtener más información sobre las reglas de entrada necesarias, consulte los [requisitos previos de AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html) en la Guía de administración de AWS Directory Service *.

Ahora que ha creado su grupo de seguridad, puede asociarlo a las interfaces de red elásticas de su sistema de FSx archivos de Amazon.

**Para asociar un grupo de seguridad a tu sistema de FSx archivos de Amazon**

1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. En el panel de control, elija el sistema de archivo para ver la información.

1. Seleccione la pestaña **Red y seguridad**, y elija las interfaces de red del sistema de archivos; por ejemplo, **ENI-01234567890123456**. En el caso de los sistemas de archivos Single-AZ, verá una interfaz de red única. En el caso de los sistemas de archivos Multi-AZ, verá una interfaz de red en la subred preferida y otra, en la subred en espera.

1. Para cada interfaz de red, elíjala y, en **Acciones**, seleccione **Cambiar grupos de seguridad**.

1. En el cuadro de diálogo **Cambiar grupos de seguridad**, elija los grupos de seguridad que desee utilizar y seleccione **Guardar**.

### Denegar el acceso a un sistema de archivos
<a name="disallow-access"></a>

 Para impedir temporalmente el acceso de red al sistema de archivos a todos los clientes, puede eliminar todos los grupos de seguridad asociados a las interfaces elastic network del sistema de archivos y sustituirlos por un grupo que no tenga inbound/outbound reglas. 

## Red Amazon VPC ACLs
<a name="limit-access-acl"></a>

Otra opción para proteger el acceso al sistema de archivos de la VPC es establecer listas de control de acceso a la red (red ACLs). ACLs Las redes son independientes de los grupos de seguridad, pero tienen una funcionalidad similar para añadir una capa de seguridad adicional a los recursos de la VPC. Para obtener más información sobre la red ACLs, consulte [Red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html) en la Guía del *usuario de Amazon VPC*.

# Registro del acceso de usuarios finales con auditoría de acceso a archivos
<a name="file-access-auditing"></a>

Amazon FSx para Windows File Server admite la auditoría del acceso de los usuarios finales a los archivos, carpetas y recursos compartidos de archivos. Puede optar por enviar los registros de eventos de auditoría de un sistema de archivos a otros servicios de AWS que ofrecen un amplio conjunto de características. Estas incluyen la posibilidad de consultar, procesar, almacenar y archivar los registros, emitir notificaciones y activar acciones para mejorar aún más los objetivos de seguridad y cumplimiento.

Para obtener más información sobre el uso de la auditoría de acceso a los archivos para obtener información sobre los patrones de acceso e implementar notificaciones de seguridad para la actividad de los usuarios finales, consulte [Información sobre los patrones de acceso al almacenamiento de archivos](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/) e [Implementación de notificaciones de seguridad para la actividad de los usuarios finales](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/).

**nota**  
La auditoría del acceso a los archivos solo se admite en FSx los sistemas de archivos de Windows con una capacidad de procesamiento de 32 MBps o más. Ahora puede modificar la capacidad de rendimiento para sistemas de archivos actuales. Para obtener más información, consulte [Administración de la capacidad de rendimiento](managing-throughput-capacity.md).

La auditoría de acceso a archivos le permite registrar los accesos de los usuarios finales a archivos, carpetas y recursos compartidos de archivos individuales en función de los controles de auditoría definidos. Los controles de auditoría también se conocen como listas de control de acceso al sistema NTFS ()SACLs. Si ya tiene controles de auditoría configurados en los datos de sus archivos existentes, puede aprovechar la auditoría de acceso a los archivos creando un nuevo sistema de archivos Amazon FSx for Windows File Server y migrando sus datos.

Amazon FSx admite los siguientes eventos de auditoría de Windows para el acceso a archivos, carpetas y archivos compartidos:
+ Para el acceso a los archivos, es compatible con: Todos, Recorrer carpeta/Ejecutar archivo, Enumerar carpeta/Leer datos, Leer atributos, Crear archivos/Escribir datos, Crear carpetas/Agregar datos, Escribir atributos, Eliminar subcarpetas y archivos, Eliminar, Leer permisos, Cambiar permisos y Asumir la propiedad.
+ Para los accesos a archivos compartidos, admite: Conectarse a un recurso compartido de archivos.

En todos los accesos a archivos, carpetas y archivos compartidos, Amazon FSx admite el registro de los intentos exitosos (por ejemplo, un usuario con permisos suficientes para acceder correctamente a un archivo o recurso compartido de archivos), los intentos fallidos o ambos.

Puede configurar si desea acceder a la auditoría únicamente a los archivos y carpetas, solo a los archivos compartidos o a ambos. También puede configurar qué tipos de accesos deben registrarse (solo los intentos exitosos, solo los intentos fallidos o ambos). También puede desactivar la auditoría de acceso a archivos en cualquier momento.

**nota**  
La auditoría de acceso a los archivos registra los datos de acceso de los usuarios finales solo desde el momento en que se habilitó. Es decir, la auditoría de acceso a los archivos no genera registros de eventos de auditoría de la actividad de acceso a archivos, carpetas y archivos compartidos de los usuarios finales que se produjo antes de que se habilitara la auditoría de acceso a los archivos.

La tasa máxima de eventos de auditoría de acceso admitidos es de 5000 eventos por segundo. Los eventos de auditoría de acceso no se generan para cada operación de lectura y escritura de archivos, sino que se generan una vez por cada operación de metadatos de archivo, por ejemplo, cuando un usuario crea, abre o elimina un archivo.

**Topics**
+ [Audite los destinos del registro de eventos](#faa-log-destinations)
+ [Migración de los controles de auditoría](#migrate-faa)
+ [Visualización de registros de eventos](#view-faa-logs)
+ [Configuración de controles de auditoría de archivos y carpetas](faa-audit-controls.md)
+ [Administrar la auditoría de acceso a los archivos](manage-faa.md)

## Audite los destinos del registro de eventos
<a name="faa-log-destinations"></a>

Cuando habilitas la auditoría de acceso a archivos, debes configurar un AWS servicio al que Amazon FSx envíe los registros de eventos de auditoría. Puede enviar los registros de eventos de auditoría a una secuencia de CloudWatch registros de Amazon Logs de un grupo de CloudWatch registros de Logs o a una transmisión de entrega de Amazon Data Firehose. Usted elige el destino de los registros de eventos de auditoría al crear su sistema de archivos de Amazon FSx for Windows File Server o en cualquier momento posterior al actualizar un sistema de archivos existente. Para obtener más información, consulte [Administrar la auditoría de acceso a los archivos](manage-faa.md).

A continuación, se incluyen algunas recomendaciones que pueden ayudarle a decidir qué destino de los registros de eventos de auditoría elegir: 
+ Elija CloudWatch Logs si desea almacenar, ver y buscar registros de eventos de auditoría en la CloudWatch consola de Amazon, ejecutar consultas en los CloudWatch registros mediante Logs Insights y activar CloudWatch alarmas o funciones Lambda.
+ Elija Amazon Data Firehose si desea transmitir eventos de forma continua al almacenamiento en Amazon S3, a una base de datos en Amazon Redshift, a OpenSearch Amazon Service o a soluciones de socios como Splunk o Datadog AWS para su posterior análisis.

De forma predeterminada, Amazon FSx creará y utilizará un grupo de CloudWatch registros predeterminado en tu cuenta como destino del registro de eventos de auditoría. Si quieres usar un grupo de CloudWatch registros personalizado o usar Firehose como destino del registro de eventos de auditoría, estos son los requisitos para los nombres y ubicaciones del destino del registro de eventos de auditoría:
+ El nombre del grupo de CloudWatch registros debe empezar por el `/aws/fsx/` prefijo. Si no tienes un grupo de CloudWatch registros existente al crear o actualizar un sistema de archivos en la consola, Amazon FSx puede crear y usar un flujo de registros predeterminado en el grupo de CloudWatch `/aws/fsx/windows` registros. Si no quieres usar el grupo de registros predeterminado, la interfaz de usuario de configuración te permite crear un grupo de CloudWatch registros al crear o actualizar tu sistema de archivos en la consola.
+ El nombre del flujo de entrega de Firehose debe empezar por el prefijo `aws-fsx-`. Si no tiene un flujo de entrega de Data Firehose existente, puede hacer uno al crear o actualizar el sistema de archivos en la consola.
+ El flujo de entrega de Firehose debe estar configurado para que se use `Direct PUT` como origen. No puede utilizar un flujo de datos de Kinesis existente como origen de datos para la transmisión de entrega.
+ El destino (grupo de CloudWatch registros de Logs o flujo de entrega de Firehose) debe estar en la misma AWS partición y Cuenta de AWS que tu sistema de FSx archivos de Amazon. Región de AWS

Puede cambiar el destino del registro de eventos de auditoría en cualquier momento (por ejemplo, de CloudWatch Logs a Firehose). Al hacerlo, los nuevos registros de eventos de auditoría se envían solo al nuevo destino.

### Entrega de registros de eventos de auditoría de la mejor forma
<a name="faa-log-delivery"></a>

Por lo general, los registros de eventos de auditoría se entregan al destino en cuestión de minutos, pero a veces pueden tardar más. En muy raras ocasiones, es posible que no se registren los registros de eventos de auditoría. Si su caso de uso requiere una semántica específica (por ejemplo, asegurarse de que no se omita ningún evento de auditoría), le recomendamos que tenga en cuenta los eventos omitidos al diseñar sus flujos de trabajo. Puede realizar una auditoría para detectar eventos omitidos escaneando la estructura de archivos y carpetas de su sistema de archivos.

## Migración de los controles de auditoría
<a name="migrate-faa"></a>

Si ya tienes los controles de auditoría (SACLs) configurados en los datos de tus archivos existentes, puedes crear un sistema de FSx archivos de Amazon y migrar tus datos a tu nuevo sistema de archivos. Te recomendamos que lo AWS DataSync utilices para transferir los datos y los archivos asociados SACLs a tu sistema de FSx archivos de Amazon. Como solución alternativa, puede utilizar Robocopy (Robust File Copy). Para obtener más información, consulte [Migración del almacenamiento de archivos existente a Amazon FSx](migrate-to-fsx.md).

## Visualización de registros de eventos
<a name="view-faa-logs"></a>

Puedes ver los registros de eventos de auditoría una vez que Amazon FSx haya empezado a emitirlos. El lugar y la forma de ver los registros dependen del destino del registro de eventos de auditoría: 
+ Para ver CloudWatch los registros, vaya a la CloudWatch consola y elija el grupo de registros y el flujo de registros a los que se enviarán los registros de los eventos de auditoría. Para obtener más información, consulta [Ver los datos de registro enviados a CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) en la *Guía del usuario de Amazon CloudWatch Logs*. 

  Puede utilizar CloudWatch Logs Insights para buscar y analizar sus datos de registro de forma interactiva. Para obtener más información, consulte [Análisis de datos de registro con CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), en la *Guía del usuario de Amazon CloudWatch Logs*.

  También puede exportar registros de eventos de auditoría a Amazon S3. Para obtener más información, consulte [Exportación de datos de registro a Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html), también en la *Guía del usuario de Amazon CloudWatch Logs*.
+ No puede ver los registros de eventos de auditoría en Firehose. Sin embargo, puede configurar Firehose para que reenvíe los registros a un destino desde el que pueda leer. Los destinos incluyen Amazon S3, Amazon Redshift, Amazon OpenSearch Service y soluciones de socios como Splunk y Datadog. Para obtener más información, consulte Choose [destination en](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html) la Guía para desarrolladores de Amazon *Data* Firehose.

### Campos de eventos de auditoría
<a name="faa-event-data"></a>

Esta sección proporciona descripciones de la información de los registros de eventos de auditoría y ejemplos de eventos de auditoría.

A continuación, se describen los campos más destacados de un evento de auditoría de Windows.
+ **EventID** hace referencia al ID de evento de registro de eventos de Windows definido por Microsoft. Consulte la documentación de Microsoft para obtener información sobre los [eventos del sistema de archivos](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) y [los eventos de archivos compartidos](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share).
+ **SubjectUserName**se refiere al usuario que realiza el acceso.
+ **ObjectName**hace referencia al archivo, carpeta o recurso compartido de archivos de destino al que se ha accedido.
+ **ShareName**está disponible para los eventos que se generan para el acceso a los archivos compartidos. Por ejemplo, `EventID 5140` se genera cuando se accede a un objeto compartido de red.
+ **IpAddress**se refiere al cliente que inició el evento para los eventos de uso compartido de archivos.
+ **Keywords**, cuando están disponibles, se refieren a si el acceso al archivo se ha realizado correctamente o no. Para que los accesos se realicen correctamente, el valor es `0x8020000000000000`. Para los accesos fallidos, el valor es `0x8010000000000000`.
+ **TimeCreated SystemTime**hace referencia a la hora en que el evento se generó en el sistema y se mostró en formato <AAAA-MM-:MM:SS.s>z. DDThh
+ **Computadora** hace referencia al nombre DNS del sistema de archivos Windows Remote Endpoint y se puede usar para identificar el sistema de archivos. PowerShell 
+ **AccessMask**, cuando está disponible, se refiere al tipo de acceso a los archivos realizado (por ejemplo, ReadData, WriteData).
+ **AccessList**se refiere al acceso solicitado o concedido a un objeto. Para obtener más información, consulte la tabla siguiente y la documentación de Microsoft (por ejemplo, en el [Evento 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)).


| Tipo de acceso | Máscara de acceso | Valor | 
| --- | --- | --- | 
|  Leer datos o directorio de la lista  |  0x1  |  %%4416  | 
|  Escribir datos o añadir un archivo  |  0x2  |  %%4417  | 
|  Añadir datos o añadir un subdirectorio  |  0x4  |  %%4418  | 
|  Atributos de lectura extendidos  |  0x8  |  %%4419  | 
|  Atributos de escritura extendidos  |  0x10  |  %%4420  | 
|  Ejecutar/recorrer  |  0x20  |  %%4421  | 
|  Eliminar elemento secundario  |  0x40  |  %%4422  | 
|  Atributos de lectura  |  0x80  |  %%4423  | 
|  Atributos de escritura  |  0x100  |  %%4424  | 
|  Eliminar  |  0x10000  |  %%1537  | 
|  ACL de lectura  |  0x20000  |  %%1538  | 
|  ACL de escritura  |  0x40000  |  %%1539  | 
|  Propietario de escritura  |  0x80000  |  %%1540  | 
|  Sincronizar  |  0x100000  |  %%1541  | 
|  ACL de seguridad de acceso  |  0x1000000  |  %%1542  | 

A continuación, se presentan algunos eventos clave con algunos ejemplos. Tenga en cuenta que el XML tiene un formato que se puede leer.

**El ID de evento 4660** se registra cuando se elimina un objeto.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
```

**El ID de evento 4659** se registra en una solicitud de eliminación de un archivo.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>
```

**El ID de evento 4663** se registra cuando se realiza una operación específica en el objeto. El siguiente ejemplo muestra la lectura de datos de un archivo, que se puede interpretar a partir de `AccessList %%4416`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>
```

El siguiente ejemplo muestra write/append los datos de un archivo, desde los que se puede interpretar`AccessList %%4417`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
```

**El ID de evento 4656** indica que se ha solicitado un acceso específico para un objeto. En el ejemplo siguiente, la solicitud de lectura se inició como ObjectName «permtest» y fue un intento fallido, como se ve en el valor de palabras clave de. `0x8010000000000000`

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>
```

**El ID de evento 4670** se registra cuando se cambian los permisos de un objeto. En el siguiente ejemplo, se muestra que el usuario «admin» modificó el permiso de «permtest» para añadir permisos al SID ObjectName «S-1-5-21-658495921-4185342820-3824891517-1113". Consulte la documentación de Microsoft para obtener más información sobre cómo interpretar los permisos.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>
```

**El ID de evento 5140** se registra cada vez que se accede a un archivo compartido.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>
```

**El ID de evento 5145** se registra cuando se deniega el acceso en el nivel de archivos compartidos. El siguiente ejemplo muestra que se denegó el acceso a «demoshare01". ShareName 

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
```

Si utilizas CloudWatch Logs Insights para buscar tus datos de registro, puedes ejecutar consultas en los campos de eventos, como se muestra en los siguientes ejemplos:
+ Para consultar un ID de evento específico:

  ```
  fields @message
     | filter @message like /4660/
  ```
+ Para consultar todos los eventos que coincidan con un nombre de archivo concreto:

  ```
  fields @message
     | filter @message like /event.txt/
  ```

 Para obtener más información sobre el lenguaje de consulta de CloudWatch Logs Insights, consulte [Análisis de datos de registro con CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), en la *Guía del usuario de Amazon CloudWatch Logs*.

# Configuración de controles de auditoría de archivos y carpetas
<a name="faa-audit-controls"></a>

Debe establecer controles de auditoría en los archivos y carpetas que desee auditar para los intentos de acceso de los usuarios. Los controles de auditoría también se conocen como listas de control de acceso al sistema NTFS (SACLs).

Los controles de auditoría se configuran mediante la interfaz gráfica de usuario nativa de Windows o mediante programación mediante comandos de Windows. PowerShell Si la herencia está habilitada, normalmente tendrá que configurar los controles de auditoría únicamente en las carpetas de nivel superior en las que desee registrar los accesos.

## Uso de la interfaz gráfica de usuario de Windows para configurar el acceso de auditoría
<a name="faa-gui-interface"></a>

Si desea utilizar una interfaz gráfica de usuario para configurar los controles de auditoría en sus archivos y carpetas, utilice el Explorador de archivos de Windows. En un archivo o carpeta determinados, abra el Explorador de archivos de Windows y seleccione la pestaña **Propiedades > Seguridad > Avanzada > Auditoría**.

En el siguiente ejemplo de control de auditoría, se auditan los eventos correctos de una carpeta. Se emitirá una entrada en el registro de eventos de Windows cada vez que el usuario administrador abra ese identificador para que lo lea correctamente. 

![\[\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)




El campo **Tipo** indica qué acciones desea auditar. Defina este campo en **Éxito** para auditar los intentos correctos, **Error** para auditar los intentos fallidos o **Todos** para auditar tanto los intentos exitosos como los fallidos.

Para obtener más información sobre los campos de entrada de auditoría, consulte [Aplicar una política de auditoría básica a un archivo o carpeta](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder) en la documentación de Microsoft.

## Uso de PowerShell comandos para configurar el acceso de auditoría
<a name="faa-powershell-commands"></a>

Puede usar el comando `Set-Acl` de Microsoft Windows para configurar la SACL de auditoría en cualquier archivo o carpeta. Para obtener información acerca de este comando, consulte la documentación de Microsoft [Set-Acl](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1).

A continuación se muestra un ejemplo del uso de una serie de PowerShell comandos y variables para configurar el acceso de auditoría para que los intentos se realicen correctamente. Puede adaptar estos comandos de ejemplo para que se ajusten a las necesidades de su sistema de archivos.

```
$path = "C:\Users\TestUser\Desktop\DemoTest\"

$ACL = Get-Acl $path

$ACL | Format-List

$AuditUser = "TESTDOMAIN\TestUser"

$AuditRules = "FullControl"

$InheritType = "ContainerInherit,ObjectInherit"

$AuditType = "Success"

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)

$ACL.SetAuditRule($AccessRule)

$ACL | Set-Acl $path

Get-Acl $path -Audit | Format-List
```

# Administrar la auditoría de acceso a los archivos
<a name="manage-faa"></a>

Puede habilitar la auditoría de acceso a los archivos al crear un nuevo sistema de archivos de Amazon FSx para Windows File Server. La auditoría de acceso a los archivos está desactivada de forma predeterminada al crear un sistema de archivos desde la FSx consola de Amazon.

En los sistemas de archivos existentes que tienen habilitada la auditoría de acceso a los archivos, puede cambiar la configuración de la auditoría de acceso a los archivos, incluidos los tipos de intentos de acceso para los accesos a archivos y recursos compartidos, y el destino del registro de eventos de auditoría. Puedes realizar estas tareas mediante la FSx consola o la AWS CLI API de Amazon.

**nota**  
La auditoría de acceso a los archivos solo se admite en los sistemas de archivos Amazon FSx para Windows File Server con una capacidad de procesamiento de 32 MBps o más. No puede crear ni actualizar un sistema de archivos con una capacidad de rendimiento inferior a 32 MBps si la auditoría de acceso a los archivos está habilitada. Puede modificar la capacidad de rendimiento en cualquier momento después de crear el sistema de archivos. Para obtener más información, consulte [Administración de la capacidad de rendimiento](managing-throughput-capacity.md).

## Cómo habilitar la auditoría de acceso a archivos al crear un sistema de archivos (consola)
<a name="faa-create-modify-config"></a>

1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Siga el procedimiento para crear un nuevo sistema de archivos que se describe en [Paso 5. Crear el sistema de archivos](getting-started.md#getting-started-step1) en la sección Primeros pasos. 

1. Abra la sección **Auditoría (opcional)**. La auditoría de acceso a archivos está deshabilitada de forma predeterminada.  
![\[\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-create-wizard.png)

1. Para habilitar y configurar la auditoría de acceso a los archivos, haga lo siguiente.
   + En **Registrar el acceso a archivos y carpetas**, selecciona el registro de los intentos and/or fallidos realizados con éxito. El registro estará desactivado para los archivos y carpetas si no selecciona nada.
   + En **Registrar el acceso a los archivos compartidos**, seleccione el registro de los intentos and/or fallidos realizados correctamente. El registro estará desactivado para los archivos compartidos si no selecciona nada.
   + En **Elija un destino de registro de eventos de auditoría**, elija **CloudWatch Logs** o **Firehose**. A continuación, seleccione un registro o flujo de entrega existente o cree uno nuevo. En el CloudWatch caso de Logs, Amazon FSx puede crear y usar un flujo de registros predeterminado en el grupo de CloudWatch `/aws/fsx/windows` registros Logs.

   A continuación, se muestra un ejemplo de una configuración de auditoría de acceso a archivos que auditará los intentos de acceso correctos y fallidos de los usuarios finales a los archivos, las carpetas y los archivos compartidos. Los registros de eventos de auditoría se enviarán al destino predeterminado del grupo de CloudWatch `/aws/fsx/windows` registros.  
![\[\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-create-advanced.png)

1. Continúe con la siguiente sección del asistente de creación del sistema de archivos.

Cuando el sistema de archivos está **Disponible**, la característica de auditoría de acceso a los archivos está habilitada.

## Cómo habilitar la auditoría de acceso a archivos al crear un sistema de archivos (CLI)
<a name="w2aac31c20c35b9b3"></a>

1. Al crear un nuevo sistema de archivos, utilice la `AuditLogConfiguration` propiedad con la operación de [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API para habilitar la auditoría del acceso a los archivos del nuevo sistema de archivos.

   ```
   aws fsx create-file-system \
     --file-system-type WINDOWS \
     --storage-capacity 300 \
     --subnet-ids subnet-123456 \
     --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
   ```

1. Cuando el sistema de archivos está **Disponible**, la característica de auditoría de acceso a los archivos está habilitada.

## Cómo cambiar la configuración de auditoría de acceso a los archivos (consola)
<a name="w2aac31c20c35b9b5"></a>

1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Vaya a **Sistemas de archivos** y elija el sistema de archivos de Windows para el que desee administrar la auditoría de acceso a archivos.

1. Elija la pestaña **Administración**.

1. En el panel de **Auditoría de acceso a archivos**, seleccione **Administrar**.  
![\[FSx panel de auditoría de acceso a archivos de la consola, que muestra la configuración de auditoría de acceso a archivos.\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-admin-panel.png)

1. En el cuadro de diálogo **Administrar la configuración de auditoría del acceso a los archivos**, cambie la configuración deseada.  
![\[FSx panel de auditoría de acceso a archivos de la consola, utilice este panel para modificar las configuraciones de auditoría de acceso a los archivos.\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-update-config.png)
   + En **Registrar el acceso a archivos y carpetas**, seleccione el registro de los intentos and/or fallidos realizados correctamente. El registro estará desactivado para los archivos y carpetas si no selecciona nada.
   + En **Registrar el acceso a los archivos compartidos**, seleccione el registro de los intentos and/or fallidos realizados correctamente. El registro estará desactivado para los archivos compartidos si no selecciona nada.
   + En **Elija un destino de registro de eventos de auditoría**, elija **CloudWatch Logs** o **Firehose**. A continuación, seleccione un registro o flujo de entrega existente o cree uno nuevo.

1. Seleccione **Save**.

## Cómo cambiar la configuración de auditoría de acceso a archivos (CLI)
<a name="w2aac31c20c35b9b7"></a>
+ Utilice el comando de CLI [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) o la operación de la API [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html) equivalente.

  ```
  aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
      FileShareAccessAuditLogLevel="FAILURE_ONLY", \
      AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
  ```

# Administración de identidades y accesos para Amazon FSx para Windows File Server
<a name="security-iam"></a>





AWS Identity and Access Management (IAM) es una Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién puede *autenticarse* (iniciar sesión) y quién puede *autorizarse* (tener permisos) FSx para usar los recursos del servidor de archivos de Windows. La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.

**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Amazon FSx para Windows File Server con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para Amazon FSx para Windows File Server](security-iam-awsmanpol.md)
+ [Solución de problemas de identidad y acceso al servidor de archivos de Amazon FSx para Windows](security_iam_troubleshoot.md)
+ [Uso de etiquetas con Amazon FSx](using-tags-fsx.md)
+ [Uso de roles vinculados a servicios FSx para Windows File Server](using-service-linked-roles.md)

## Público
<a name="security_iam_audience"></a>

La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso al servidor de archivos de Amazon FSx para Windows](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon FSx para Windows File Server con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)).

## Autenticación con identidades
<a name="security_iam_authentication"></a>

La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.

Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.

Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.

### Cuenta de AWS usuario root
<a name="security_iam_authentication-rootuser"></a>

 Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*. 

### Identidad federada
<a name="security_iam_authentication-federated"></a>

Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.

Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.

Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.

### Usuarios y grupos de IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.

### Roles de IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.

Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Administración del acceso con políticas
<a name="security_iam_access-manage"></a>

 AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.

Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.

De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.

### Políticas basadas en identidades
<a name="security_iam_access-manage-id-based-policies"></a>

Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.

### Políticas basadas en recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.

Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.

### Otros tipos de políticas
<a name="security_iam_access-manage-other-policies"></a>

AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.

### Varios tipos de políticas
<a name="security_iam_access-manage-multiple-policies"></a>

Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.

# Cómo funciona Amazon FSx para Windows File Server con IAM
<a name="security_iam_service-with-iam"></a>

Antes de utilizar IAM para gestionar el acceso al FSx servidor de archivos de Windows, infórmese sobre las funciones de IAM disponibles FSx para su uso en el servidor de archivos de Windows.






**Funciones de IAM que puede utilizar con Amazon FSx for Windows File Server**  

| Característica de IAM | FSx soporte | 
| --- | --- | 
|  [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies)  |   Sí  | 
|  [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sí  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   Sí  | 
|  [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sí  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags)  |   Sí  | 
|  [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds)  |   Sí  | 
|  [Sesiones de acceso directo](#security_iam_service-with-iam-principal-permissions)  |   Sí  | 
|  [Roles de servicio](#security_iam_service-with-iam-roles-service)  |   No   | 
|  [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked)  |   Sí  | 

Para obtener una visión general de cómo FSx funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.

## Políticas basadas en la identidad para FSx
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatibilidad con las políticas basadas en identidad:** sí

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.

### Ejemplos de políticas basadas en la identidad para FSx
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Para ver ejemplos de políticas basadas en FSx la identidad del servidor de archivos de Windows, consulte. [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)

## Políticas basadas en recursos dentro de FSx
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Admite políticas basadas en recursos:** no 

Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS

Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Acciones políticas para FSx
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatibilidad con las acciones de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.



Para ver una lista de FSx acciones, consulte [Acciones definidas por Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) en la *Referencia de autorización de servicios*.

Las acciones políticas FSx utilizan el siguiente prefijo antes de la acción:

```
fsx
```

Para especificar varias acciones en una única instrucción, sepárelas con comas.

```
"Action": [
      "fsx:action1",
      "fsx:action2"
         ]
```





Para ver ejemplos de FSx políticas basadas en la identidad del servidor de archivos de Windows, consulte. [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)

## Recursos de políticas para FSx
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Compatibilidad con los recursos de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.

```
"Resource": "*"
```

Para ver una lista de los tipos de FSx recursos y sus ARNs respectivos tipos, consulte [Recursos definidos por Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) en la *Referencia de autorización de servicios*. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas FSx por Amazon para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).





Para ver ejemplos de FSx políticas basadas en la identidad del servidor de archivos de Windows, consulte. [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)

## Claves de condición de la política para FSx
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatibilidad con claves de condición de políticas específicas del servicio:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.

Para ver una lista de claves de FSx condición, consulta [Claves de condición de Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) en la *Referencia de autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).

Para ver ejemplos de FSx políticas basadas en la identidad del servidor de archivos de Windows, consulte. [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)

## ACLs in FSx
<a name="security_iam_service-with-iam-acls"></a>

**Soporta ACLs**: No 

Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.

## ABAC con FSx
<a name="security_iam_service-with-iam-tags"></a>

**Admite ABAC (etiquetas en las políticas):** sí

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.

Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.

*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

## Utilizar credenciales temporales con FSx
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatibilidad con credenciales temporales:** sí

Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente al utilizar la federación o al cambiar de función. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.

## Sesiones de acceso directo para FSx
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Admite sesiones de acceso directo (FAS):** sí

 Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama Servicio de AWS, junto con la solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Funciones de servicio para FSx
<a name="security_iam_service-with-iam-roles-service"></a>

**Compatible con roles de servicio:** No 

 Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*. 

**aviso**  
Cambiar los permisos de un rol de servicio podría interrumpir FSx la funcionalidad. Edite las funciones de servicio solo cuando se FSx proporcionen instrucciones para hacerlo.

## Funciones vinculadas al servicio para FSx
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Compatible con roles vinculados al servicio:** sí

 Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios. 

Para obtener más información sobre la creación o administración de funciones FSx vinculadas a un servicio de Windows File Server, consulte. [Uso de roles vinculados a servicios FSx para Windows File Server](using-service-linked-roles.md)

# Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server
<a name="security_iam_id-based-policy-examples"></a>

De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar FSx los recursos del servidor de archivos de Windows. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.

Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las acciones y los tipos de recursos definidos por FSx, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [Acciones, recursos y claves de condición de Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) en la *Referencia de autorización de servicios*.

**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola FSx](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)

## Prácticas recomendadas sobre las políticas
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Las políticas basadas en la identidad determinan si alguien puede crear recursos del servidor de archivos de Windows de su FSx cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

## Uso de la consola FSx
<a name="security_iam_id-based-policy-examples-console"></a>

Para acceder a la consola de Amazon FSx for Windows File Server, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos del servidor FSx de archivos de Windows que tiene en su Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.

No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.

Para garantizar que los usuarios y los roles puedan seguir utilizando la FSx consola, adjunte también la política FSx `AmazonFSxConsoleReadOnlyAccess` AWS administrada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:

## Cómo permitir a los usuarios consultar sus propios permisos
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```







# AWS políticas gestionadas para Amazon FSx para Windows File Server
<a name="security-iam-awsmanpol"></a>

Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

## Amazon FSx ServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonFSxServiceRolePolicy"></a>

Permite FSx a Amazon gestionar AWS los recursos en tu nombre. Consulte [Uso de roles vinculados a servicios FSx para Windows File Server](using-service-linked-roles.md) para obtener más información.

## AWS política gestionada: Amazon FSx DeleteServiceLinkedRoleAccess
<a name="security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess"></a>

No puede asociar `AmazonFSxDeleteServiceLinkedRoleAccess` a sus entidades IAM. Esta política está vinculada a un servicio, y se utiliza únicamente con un rol vinculado a un servicio de dicho servicio. No puede adjuntar, separar, modificar ni eliminar esta política. Para obtener más información, consulte [Uso de roles vinculados a servicios FSx para Windows File Server](using-service-linked-roles.md).

Esta política concede permisos administrativos que permiten FSx a Amazon eliminar su función vinculada a servicios para el acceso a Amazon S3, que solo utiliza Amazon FSx for Lustre.

**Detalles de los permisos**

Esta política incluye permisos que permiten `iam` FSx a Amazon ver, eliminar y ver el estado de eliminación de las funciones vinculadas al FSx servicio para el acceso a Amazon S3.

Para ver los permisos de esta política, consulta [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) en la Guía de referencia de políticas AWS gestionadas.

## AWS política gestionada: Amazon FSx FullAccess
<a name="security-iam-awsmanpol-AmazonFSxFullAccess"></a>

Puedes adjuntar Amazon FSx FullAccess a tus entidades de IAM. Amazon FSx también vincula esta política a un rol de servicio que permite FSx a Amazon realizar acciones en tu nombre. 

Proporciona acceso completo a Amazon FSx y acceso a los AWS servicios relacionados.

**Detalles de los permisos**

Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores tener acceso total para realizar todas las FSx acciones de Amazon, excepto`BypassSnaplockEnterpriseRetention`.
+ `ds`— Permite a los directores ver información sobre los Directory Service directorios.
+ `ec2`
  + Permite que las entidades principales creen etiquetas en las condiciones especificadas.
  + Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).
+ `iam`— Permite a los principios crear un rol vinculado a los FSx servicios de Amazon en nombre del usuario. Esto es necesario para que Amazon FSx pueda gestionar AWS los recursos en nombre del usuario.
+ `firehose`: permite que las entidades principales escriban los registros en Amazon Data Firehose. Esto es necesario FSx para que los usuarios puedan supervisar el acceso al sistema de archivos de Windows File Server enviando los registros de acceso de auditoría a Firehose.
+ `logs`: permite que las entidades principales creen grupos de registros, registren flujos y escriban eventos en los flujos de registro. Esto es necesario FSx para que los usuarios puedan supervisar el acceso al sistema de archivos del servidor de archivos de Windows enviando los registros de acceso de auditoría a CloudWatch Logs.

Para ver los permisos de esta política, consulta [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) en la Guía de referencia de políticas AWS gestionadas.

## AWS política gestionada: Amazon FSx ConsoleFullAccess
<a name="security-iam-awsmanpol-AmazonFSxConsoleFullAccess"></a>

Puede asociar la política `AmazonFSxConsoleFullAccess` a las identidades de IAM.

Esta política otorga permisos administrativos que permiten el acceso total a Amazon FSx y a los AWS servicios relacionados a través del Consola de administración de AWS.

**Detalles de los permisos**

Esta política incluye los siguientes permisos.




+ `fsx`— Permite a los directores realizar todas las acciones en la consola FSx de administración de Amazon, excepto`BypassSnaplockEnterpriseRetention`. 
+ `cloudwatch`— Permite a los directores ver CloudWatch las alarmas y las métricas en la consola de FSx administración de Amazon.
+ `ds`— Permite a los directores enumerar información sobre un Directory Service directorio.
+ `ec2`
  + Permite a los directores crear etiquetas en las tablas de enrutamiento, enumerar las interfaces de red, las tablas de enrutamiento, los grupos de seguridad, las subredes y la VPC asociada a un sistema de archivos de Amazon. FSx 
  + Permite a las entidades principales que proporcionen una validación mejorada de grupos de seguridad de todos los que se pueden usar con una VPC.
  + Permite a los directores ver las interfaces de red elásticas asociadas a un sistema de FSx archivos de Amazon.
+ `kms`— Permite a los directores enumerar los alias de las claves. AWS Key Management Service 
+ `s3`: permite que las entidades principales creen listas de algunos o todos los objetos de un bucket de Amazon S3 (hasta 1000).
+ `secretsmanager`— Permite a los directores enumerar sus secretos AWS Secrets Manager para seleccionar las credenciales de las cuentas de servicio de unión a dominios.
+ `iam`— Otorga permiso para crear un rol vinculado a un servicio que permita FSx a Amazon realizar acciones en nombre del usuario.

Para ver los permisos de esta política, consulta [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) en la Guía de referencia de políticas AWS gestionadas.

## AWS política gestionada: Amazon FSx ConsoleReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess"></a>

Puede asociar la política `AmazonFSxConsoleReadOnlyAccess` a las identidades de IAM.

Esta política otorga permisos de solo lectura a Amazon FSx y los AWS servicios relacionados para que los usuarios puedan ver información sobre estos servicios en el. Consola de administración de AWS

**Detalles de los permisos**

Esta política incluye los siguientes permisos.




+ `fsx`— Permite a los directores ver información sobre los sistemas de FSx archivos de Amazon, incluidas todas las etiquetas, en Amazon FSx Management Console.
+ `cloudwatch`— Permite a los directores ver CloudWatch las alarmas y las métricas en Amazon FSx Management Console.
+ `ds`— Permite a los directores ver información sobre un Directory Service directorio en Amazon FSx Management Console.
+ `ec2`
  + Permite a los directores ver las interfaces de red, los grupos de seguridad, las subredes y la VPC asociada a un sistema de FSx archivos de Amazon en Amazon Management Console. FSx 
  + Permite a las entidades principales que proporcionen una validación mejorada de grupos de seguridad de todos los que se pueden usar con una VPC.
  + Permite a los directores ver las interfaces de red elásticas asociadas a un sistema de FSx archivos de Amazon.
+ `kms`— Permite a los directores ver los alias de las AWS Key Management Service claves en Amazon FSx Management Console.
+ `log`— Permite a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.
+ `secretsmanager`— Permite a los directores enumerar sus secretos AWS Secrets Manager para seleccionar las credenciales de las cuentas de servicio de unión a dominios.
+ `firehose`: permite que las entidades principales describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.



Para ver los permisos de esta política, consulta [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) en la Guía de referencia de políticas AWS gestionadas.

## AWS política gestionada: Amazon FSx ReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonFSxReadOnlyAccess"></a>

Puede asociar la política `AmazonFSxReadOnlyAccess` a las identidades de IAM.
+ `fsx`— Permite a los directores ver información sobre los sistemas de FSx archivos de Amazon, incluidas todas las etiquetas, en Amazon FSx Management Console.
+ `ec2`: para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC.

Para ver los permisos de esta política, consulta [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) en la Guía de referencia de políticas AWS gestionadas.

## Amazon FSx actualiza las políticas AWS gestionadas
<a name="security-iam-awsmanpol-updates"></a>

Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon FSx desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbete a la fuente RSS de la FSx [Historial del documento](doc-history.md) página de Amazon.


| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `secretsmanager:ListSecrets` que permite a los directores enumerar los secretos AWS Secrets Manager para seleccionar las credenciales de la cuenta de servicio de unión a dominios. | 5 de noviembre de 2025 | 
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `secretsmanager:ListSecrets` que permite a los directores enumerar los secretos AWS Secrets Manager para seleccionar las credenciales de la cuenta de servicio de unión a dominios. | 3 de noviembre de 2025 | 
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:AssignIpv6Addresses` que permite a los directores asignar IPv6 direcciones a las interfaces de red de los clientes que tienen una `AmazonFSx.FileSystemId` etiqueta. | 22 de julio de 2025 | 
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:UnassignIpv6Addresses` que permite a los directores anular la asignación de IPv6 direcciones de las interfaces de red de los clientes que tienen una `AmazonFSx.FileSystemId` etiqueta. | 22 de julio de 2025 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:CreateAndAttachS3AccessPoint` que permite a los directores crear un punto de acceso S3 y adjuntarlo a un FSx volumen. | 25 de junio de 2025 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DescribeS3AccessPointAttachments` que permite a los directores enumerar todos los puntos de acceso S3 de forma Cuenta de AWS individual. Región de AWS | 25 de junio de 2025 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DetachAndDeleteS3AccessPoint` que permite a los directores eliminar un punto de acceso S3. | 25 de junio de 2025 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:CreateAndAttachS3AccessPoint` que permite a los directores crear un punto de acceso S3 y adjuntarlo a un FSx volumen. | 25 de junio de 2025 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DescribeS3AccessPointAttachments` que permite a los directores enumerar todos los puntos de acceso S3 de forma Cuenta de AWS individual. Región de AWS | 25 de junio de 2025 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DetachAndDeleteS3AccessPoint` que permite a los directores eliminar un punto de acceso S3. | 25 de junio de 2025 | 
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:DescribeNetworkInterfaces` que permite a los directores ver las interfaces de red elásticas asociadas a su sistema de archivos. | 25 de febrero de 2025 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:DescribeNetworkInterfaces` que permite a los directores ver las interfaces de red elásticas asociadas a su sistema de archivos. | 7 de febrero de 2025 | 
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 | 
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 | 
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación de datos entre regiones y cuentas FSx para los sistemas de archivos OpenZFS. | 20 de diciembre de 2023 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación de datos entre regiones y cuentas FSx para los sistemas de archivos OpenZFS. | 20 de diciembre de 2023 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación bajo demanda de volúmenes FSx para los sistemas de archivos OpenZFS. | 26 de noviembre de 2023 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación bajo demanda de volúmenes FSx para los sistemas de archivos OpenZFS. | 26 de noviembre de 2023 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los usuarios puedan ver, activar y desactivar el soporte de VPC compartido FSx para los sistemas de archivos Multi-AZ de ONTAP. | 14 de noviembre de 2023 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los usuarios puedan ver, activar y desactivar el soporte de VPC compartido FSx para los sistemas de archivos Multi-AZ de ONTAP. | 14 de noviembre de 2023 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos que permiten FSx a Amazon gestionar las configuraciones de red de los sistemas de FSx archivos Multi-AZ de OpenZFS. | 9 de agosto de 2023 | 
| [AWS política gestionada: Amazon FSxServiceRolePolicy:](using-service-linked-roles.md#slr-permissions) actualización a una política existente | Amazon FSx modificó el `cloudwatch:PutMetricData` permiso existente para que Amazon FSx publique CloudWatch las métricas en el espacio de `AWS/FSx` nombres. | 24 de julio de 2023 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx actualizó la política para eliminar el `fsx:*` permiso y añadir `fsx` acciones específicas.  | 13 de julio de 2023 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx actualizó la política para eliminar el `fsx:*` permiso y añadir `fsx` acciones específicas.  | 13 de julio de 2023 | 
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los usuarios ver las métricas de rendimiento mejoradas y las acciones recomendadas FSx para los sistemas de archivos Windows File Server en la FSx consola de Amazon. | 21 de septiembre de 2022 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los usuarios ver las métricas de rendimiento mejoradas y las acciones recomendadas FSx para los sistemas de archivos Windows File Server en la FSx consola de Amazon. | 21 de septiembre de 2022 | 
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): comenzó la política de seguimiento | Esta política otorga acceso de solo lectura a todos los FSx recursos de Amazon y a las etiquetas asociadas a ellos. | 4 de febrero de 2022 | 
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess): comenzó la política de seguimiento | Esta política concede permisos administrativos que permiten FSx a Amazon eliminar su función vinculada a servicios para el acceso a Amazon S3. | 7 de enero de 2022 | 
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon pueda FSx gestionar las configuraciones de red de Amazon FSx para los sistemas de archivos NetApp ONTAP. | 2 de septiembre de 2021 | 
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx añadió nuevos permisos para que Amazon FSx cree etiquetas en las tablas de enrutamiento de EC2 para llamadas restringidas. | 2 de septiembre de 2021 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a Amazon crear Amazon FSx FSx para los sistemas de archivos Multi-AZ de NetApp ONTAP. | 2 de septiembre de 2021 | 
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx añadió nuevos permisos para que Amazon FSx cree etiquetas en las tablas de enrutamiento de EC2 para llamadas restringidas. | 2 de septiembre de 2021 | 
|  [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente  |  Amazon FSx ha añadido nuevos permisos para que Amazon FSx pueda describir y escribir en las secuencias de registro de CloudWatch Logs. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de FSx los sistemas de archivos del servidor de archivos de Windows mediante CloudWatch registros.  | 8 de junio de 2021 | 
|  [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente  |  Amazon FSx ha añadido nuevos permisos para que Amazon pueda FSx describir y escribir en las transmisiones de entrega de Amazon Data Firehose. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server mediante Amazon Data Firehose.  | 8 de junio de 2021 | 
|  [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente  |  Amazon FSx agregó nuevos permisos para permitir a los directores describir y crear grupos de CloudWatch registros, flujos de registro y escribir eventos en flujos de registro. Esto es necesario para que los directores puedan ver los registros de auditoría de acceso a los archivos de los sistemas de FSx archivos del servidor de archivos de Windows mediante CloudWatch registros.  | 8 de junio de 2021 | 
|  [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente  |  Amazon FSx ha añadido nuevos permisos para permitir a los directores describir y escribir registros en una Amazon Data Firehose. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server mediante Amazon Data Firehose.  | 8 de junio de 2021 | 
|  [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente  |  Amazon FSx ha añadido nuevos permisos para permitir a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan elegir un grupo de CloudWatch registros existente al configurar la auditoría de acceso a los archivos FSx para un sistema de archivos del servidor de archivos de Windows.  | 8 de junio de 2021 | 
|  [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente  |  Amazon FSx ha añadido nuevos permisos para que los responsables describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan elegir un flujo de entrega de Firehose existente al configurar la auditoría de acceso a los archivos para FSx un sistema de archivos para Windows File Server.  | 8 de junio de 2021 | 
|  [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente  |  Amazon FSx ha añadido nuevos permisos para permitir a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.  | 8 de junio de 2021 | 
|  [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente  |  Amazon FSx ha añadido nuevos permisos para que los responsables describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.  | 8 de junio de 2021 | 
|  Amazon FSx comenzó a rastrear los cambios  |  Amazon FSx comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.  | 8 de junio de 2021 | 

# Solución de problemas de identidad y acceso al servidor de archivos de Amazon FSx para Windows
<a name="security_iam_troubleshoot"></a>

Utilice la siguiente información para ayudarle a diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con FSx Windows File Server e IAM.

**Topics**
+ [No estoy autorizado a realizar ninguna acción en FSx](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis FSx recursos](#security_iam_troubleshoot-cross-account-access)

## No estoy autorizado a realizar ninguna acción en FSx
<a name="security_iam_troubleshoot-no-permissions"></a>

Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.

En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `fsx:GetWidget`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```

En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `fsx:GetWidget`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## No estoy autorizado a realizar tareas como: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si recibe un mensaje de error que indica que no está autorizado a realizar la `iam:PassRole` acción, debe actualizar sus políticas para que pueda transferir una función al FSx servidor de archivos de Windows.

Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.

El siguiente ejemplo de error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en FSx el servidor de archivos de Windows. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis FSx recursos
<a name="security_iam_troubleshoot-cross-account-access"></a>

Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.

Para obtener más información, consulte lo siguiente:
+ Para saber si FSx Windows File Server admite estas funciones, consulte. [Cómo funciona Amazon FSx para Windows File Server con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

# Uso de etiquetas con Amazon FSx
<a name="using-tags-fsx"></a>

Puedes usar etiquetas para controlar el acceso a FSx los recursos de Amazon e implementar el control de acceso basado en atributos (ABAC). Los usuarios deben tener permiso para aplicar etiquetas a FSx los recursos de Amazon durante la creación.

## Conceder permisos para etiquetar recursos durante la creación
<a name="supported-iam-actions-tagging"></a>

Algunas acciones de la API de creación de recursos FSx para Windows File Server permiten especificar etiquetas al crear el recurso. Puede utilizar etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulte [¿Qué es ABAC para AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

Para permitir que los usuarios etiqueten los recursos durante su creación, es preciso que tengan permisos para utilizar la acción que crea el recurso (por ejemplo, `fsx:CreateFileSystem` o `fsx:CreateBackup`). Si se especifican etiquetas en la acción de creación de recursos, Amazon realiza una autorización adicional en la acción `fsx:TagResource` para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción `fsx:TagResource`.

El siguiente ejemplo muestra una política que permite a los usuarios crear sistemas de archivos y aplicar etiquetas a los sistemas de archivos durante la creación de un sistema específico. Cuenta de AWS

```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateFileSystem",
         "fsx:TagResource"         
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/*"
    }
  ]
}
```

De la misma manera, la siguiente política permite que los usuarios creen copias de seguridad en un sistema de archivos específico, y apliquen cualquier etiqueta a la copia de seguridad durante la creación de la copia de seguridad.

```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateBackup"
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:region:account-id:backup/*"
    }
  ]
}
```

La acción `fsx:TagResource` solo se evalúa si se aplican etiquetas durante la acción de creación de recursos. Por lo tanto, un usuario que tenga permisos para crear un recurso (suponiendo que no existan condiciones de etiquetado) no necesita permisos para utilizar la acción `fsx:TagResource` si no se especifica ninguna etiqueta en la solicitud. Sin embargo, si el usuario intenta crear un recurso con etiquetas, la solicitud dará un error si el usuario no tiene permisos para utilizar la acción `fsx:TagResource`.

Para obtener más información sobre el etiquetado de FSx los recursos de Amazon, consulte[Etiquetado de recursos de Amazon FSx](tag-resources.md). Para obtener más información sobre el uso de etiquetas para controlar el acceso a FSx los recursos, consulte[Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon](#restrict-fsx-access-tags).

## Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon
<a name="restrict-fsx-access-tags"></a>

Para controlar el acceso a FSx los recursos y acciones de Amazon, puedes usar políticas AWS Identity and Access Management (IAM) basadas en etiquetas. Puede proporcionar el control de dos maneras:

1. Controle el acceso a FSx los recursos de Amazon en función de las etiquetas de esos recursos.

1. Controlar las etiquetas que se pueden pasar en una condición de solicitud de IAM.

Para obtener información sobre cómo utilizar las etiquetas para controlar el acceso a AWS los recursos, consulte [Controlar el acceso mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la *Guía del usuario de IAM*. Para obtener más información sobre cómo etiquetar FSx los recursos de Amazon en el momento de la creación, consulte[Conceder permisos para etiquetar recursos durante la creación](#supported-iam-actions-tagging). Para obtener más información acerca del etiquetado de recursos, consulte [Etiquetado de recursos de Amazon FSx](tag-resources.md).

### Control del acceso a un recurso en función de las etiquetas
<a name="resource-tag-control"></a>

Para controlar qué acciones puede realizar un usuario o un rol en un FSx recurso de Amazon, puedes usar etiquetas en el recurso. Por ejemplo, es posible que desee permitir o denegar acciones de la API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.

**Example política: crear un sistema de archivos al proporcionar una etiqueta específica**  
Esta política permite que el usuario cree un sistema de archivos solo cuando lo etiqueta con un par clave-valor específico, en este ejemplo, `key=Department, value=Finance`.  

```
{
    "Effect": "Allow",
    "Action": [
        "fsx:CreateFileSystem",
        "fsx:TagResource"
    ],
    "Resource": "arn:aws:fsx:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
```

**Example política: cree copias de seguridad solo de los sistemas de FSx archivos de Amazon con una etiqueta específica**  
Esta política permite que los usuarios creen copias de seguridad únicamente de los sistemas de archivos que estén etiquetados con el par clave-valor `key=Department, value=Finance`, y la copia de seguridad se creará con la etiqueta `Deparment=Finance`.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource",
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}
```

**Example política: crear un sistema de archivos con una etiqueta específica a partir de copias de seguridad que tengan una etiqueta específica**  
Esta política permite que los usuarios creen sistemas de archivos que tengan la etiqueta `Department=Finance` únicamente a partir de copias de seguridad etiquetadas con `Department=Finance`.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
```

**Example política: eliminar los sistemas de archivos con etiquetas específicas**  
Esta política permite que un usuario elimine únicamente los sistemas de archivos que estén etiquetados con `Department=Finance`. Si crea una copia de seguridad final, debe etiquetarla con `Department=Finance`.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:DeleteFileSystem"
            ],
            "Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}
```

# Uso de roles vinculados a servicios FSx para Windows File Server
<a name="using-service-linked-roles"></a>

El servidor de archivos de Amazon FSx para Windows utiliza AWS Identity and Access Management funciones vinculadas a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente para Windows File Server. FSx Las funciones vinculadas al servicio están predefinidas FSx para Windows File Server e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre. 

Un rol vinculado a un servicio facilita la configuración del servidor FSx de archivos de Windows, ya que no es necesario añadir manualmente los permisos necesarios. FSx para Windows File Server define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo FSx para Windows File Server puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus recursos del servidor FSx de archivos de Windows porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de rol vinculados a un servicio para Windows File Server FSx
<a name="slr-permissions"></a>

FSx para Windows, el servidor de archivos utiliza el rol vinculado al servicio denominado `AWSServiceRoleForAmazonFSx` — que realiza determinadas acciones en la cuenta, como la creación de interfaces de red elásticas para los sistemas de archivos de la VPC.

La política de permisos de roles permite que FSx Windows File Server complete las siguientes acciones en todos los recursos aplicables: AWS 

No puedes adjuntar Amazon FSx ServiceRolePolicy a tus entidades de IAM. Esta política está asociada a una función vinculada al servicio que permite FSx gestionar AWS los recursos en tu nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios FSx para Windows File Server](#using-service-linked-roles).

Para obtener actualizaciones de esta política, consulte [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).

Esta política otorga permisos administrativos que permiten FSx administrar AWS los recursos en nombre del usuario.

**Detalles de los permisos**

Los permisos de los FSx ServiceRolePolicy roles de Amazon se definen en la política FSx ServiceRolePolicy AWS gestionada de Amazon. Amazon FSx ServiceRolePolicy tiene los siguientes permisos:

**nota**  
Amazon FSx ServiceRolePolicy lo utilizan todos los tipos de sistemas de FSx archivos de Amazon; es posible que algunos de los permisos enumerados no se apliquen a FSx Windows.
+ `ds`— Permite FSx ver, autorizar y desautorizar las aplicaciones de su Directory Service directorio.
+ `ec2`— Permite FSx hacer lo siguiente:
  + Vea, cree y desasocie las interfaces de red asociadas a un sistema de FSx archivos de Amazon.
  + Vea una o más direcciones IP elásticas asociadas a un sistema de FSx archivos de Amazon.
  + Vea Amazon VPCs, los grupos de seguridad y las subredes asociados a un sistema de FSx archivos de Amazon.
  + Asigne IPv6 direcciones a las interfaces de red de los clientes que tengan una `AmazonFSx.FileSystemId` etiqueta.
  + Anule la asignación de IPv6 direcciones de las interfaces de red de los clientes que tengan una `AmazonFSx.FileSystemId` etiqueta.
  + Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).
  + Cree un permiso para que un usuario AWS autorizado realice determinadas operaciones en una interfaz de red.
+ `cloudwatch`— Permite FSx publicar puntos de datos métricos CloudWatch en el espacio de FSx nombres AWS/.
+ `route53`— Permite FSx asociar una Amazon VPC a una zona alojada privada.
+ `logs`— Permite FSx describir y escribir en los CloudWatch registros los flujos de registro. Esto permite a los usuarios enviar los registros de auditoría de acceso a los archivos de un sistema FSx de archivos del servidor de archivos de Windows a un flujo de CloudWatch registros.
+ `firehose`— Permite FSx describir y escribir en los flujos de entrega de Amazon Data Firehose. Esto permite a los usuarios publicar los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server en una transmisión de entrega de Amazon Data Firehose.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}
```

------

Todas las actualizaciones de esta política están detalladas en [Amazon FSx actualiza las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Crear un rol vinculado a un servicio para el servidor de archivos de FSx Windows
<a name="create-slr"></a>

No necesita crear manualmente un rol vinculado a servicios. Al crear un sistema de archivos en la Consola de administración de AWS CLI de IAM o la API de IAM FSx para Windows, el servidor de archivos crea automáticamente el rol vinculado al servicio. 

**importante**  
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un sistema de archivos, en el caso de Windows, FSx File Server vuelve a crear el rol vinculado al servicio. 

## Edición de un rol vinculado a un servicio para FSx el servidor de archivos de Windows
<a name="edit-slr"></a>

FSx para Windows File Server no permite editar el rol vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminar un rol vinculado a un servicio para Windows File Server FSx
<a name="delete-slr"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.

**nota**  
Si el servicio FSx de servidor de archivos de Windows utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

**Para eliminar manualmente el rol vinculado a servicios mediante IAM**

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios . Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

## Regiones compatibles FSx para las funciones vinculadas al servicio del servidor de archivos de Windows
<a name="slr-regions"></a>

FSx para Windows File Server, admite el uso de roles vinculados a un servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Regiones y puntos de conexión de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).

# Validación de conformidad de Amazon FSx para Windows File Server
<a name="fsx-compliance"></a>

Para saber si un Servicio de AWS está incluido en el ámbito de programas de conformidad específicos, consulte [Servicios de AWS incluidos por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/) y escoja el programa de conformidad que le interese. Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).

Puedes descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).

Su responsabilidad de conformidad al utilizar Servicios de AWS se determina en función de la confidencialidad de los datos, los objetivos de conformidad de su empresa, así como de la legislación y los reglamentos aplicables. Para obtener más información sobre la responsabilidad de conformidad al usar Servicios de AWS, consulte la [Documentación de seguridad de AWS](https://docs.aws.amazon.com/security/).

# Amazon FSx para Windows File Server y puntos de conexión de VPC de interfaz
<a name="fsx-vpc-endpoints"></a>

Puede mejorar la postura de seguridad de su VPC configurando Amazon FSx para que utilice un punto de conexión de VPC de interfaz. Los puntos de conexión de VPC de interfaz cuentan con [AWS PrivateLink](https://aws.amazon.com/privatelink), una tecnología que permite acceder de forma privada a las API de Amazon FSx sin necesidad de contar con una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión de Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con las API de Amazon FSx. El tráfico entre la VPC y Amazon FSx no sale de la red de AWS.

Cada punto de conexión de VPC de la interfaz está representado por una o más interfaces de red elásticas en las subredes. Una interfaz de red proporciona una dirección IP privada que sirve como punto de entrada del tráfico dirigido a la API de Amazon FSx. Amazon FSx admite puntos de enlace de VPC configurados con tipos de direcciones IP sede solo IPv4 y doble pila (IPv4 e IPv6). Para obtener más información, consulte [ Creación de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la *Guía del usuario de Amazon VPC*.



## Consideraciones sobre los puntos de conexión de VPC de interfaz para Amazon FSx
<a name="privatelink-considerations"></a>

Antes de configurar un punto de conexión de VPC de interfaz para Amazon FSx, revise el tema [Propiedades y limitaciones de los puntos de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) en la *Guía del usuario de Amazon VPC*.

Puede llamar a cualquiera de las operaciones de la API de Amazon FSx desde su VPC. Por ejemplo, puede crear un sistema de archivos de FSx para Windows File Server llamando a la API CreateFileSystem desde su VPC. Para ver la lista completa de las API de Amazon FSx, consulte [Acciones](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) en la Referencia de las API de Amazon FSx.

### Consideraciones sobre el emparejamiento de VPC
<a name="privatelink-vpc-peering"></a>

Puede conectar una VPC a otra con puntos de conexión de VPC de interfaz usando el emparejamiento de VPC. El emparejamiento de VPC es una conexión de red entre dos VPC. Puede establecer una conexión de emparejamiento de VPC entre dos VPC propias o con una VPC en otra Cuenta de AWS. Las VPC también pueden estar en dos Regiones de AWS diferentes.

El tráfico entre las VPC emparejadas permanece en la red de AWS y no pasa por la red pública de Internet. Una vez que las VPC están emparejadas, algunos recursos como las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en ambas VPC pueden obtener acceso a la API de Amazon FSx a través de puntos de conexión de VPC de interfaz creados en una de las VPC.

## Creación de un punto de conexión de VPC de interfaz para la API de Amazon FSx
<a name="create-vpce-fsx"></a>

Puede crear un punto de conexión de VPC para la API de Amazon FSx mediante la consola de Amazon VPC o desde AWS Command Line Interface (AWS CLI). Para obtener más información, consulte [ Creación de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la *Guía del usuario de Amazon VPC*.

Para crear un punto de conexión de VPC de interfaz para Amazon FSx, utilice una de las siguientes opciones:
+ `com.amazonaws.region.fsx`: crea un punto de conexión para las operaciones de la API de Amazon FSx.
+ **`com.amazonaws.region.fsx-fips`**: crea un punto de conexión para la API de Amazon FSx que cumple con el [Estándar federal de procesamiento de información (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

Para utilizar la opción de DNS privado, debe configurar los atributos `enableDnsHostnames` y `enableDnsSupport` de su VPC. Para obtener más información, consulte [Visualización y actualización de la compatibilidad de DNS para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) en la *Guía del usuario de Amazon VPC*.

Excepto en Regiones de AWS en China, si habilita un DNS privado para el punto de conexión, podrá realizar solicitudes de la API a Amazon FSx con el punto de conexión de VPC mediante el nombre de DNS predeterminado para la Región de AWS, por ejemplo `fsx.us-east-1.amazonaws.com`. En las Regiones de AWS de China (Pekín) y China (Ningxia), puede realizar solicitudes de la API con el punto de conexión de VPC mediante `fsx-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn` y `fsx-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn`, respectivamente.

Para obtener más información, consulte [ Acceso a un servicio a través de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) en la *Guía del usuario de Amazon VPC*.

## Creación de una política de punto de conexión de VPC para Amazon FSx
<a name="create-vpce-policy-fsx"></a>

Para controlar aún más el acceso a la API de Amazon FSx, puede adjuntar opcionalmente una política de AWS Identity and Access Management (IAM) a su punto de conexión de VPC. La política especifica lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.