Aviso de fin de soporte: el 7 de octubre de 2026, AWS suspenderemos el soporte para AWS IoT Greengrass Version 1. Después del 7 de octubre de 2026, ya no podrá acceder a los AWS IoT Greengrass V1 recursos. Para obtener más información, visita [Migrar desde AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Solución de problemas de identidad y acceso para AWS IoT Greengrass
<a name="security_iam_troubleshoot"></a>

Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con un AWS IoT Greengrass IAM.

**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS IoT Greengrass](#security_iam_troubleshoot-no-permissions)
+ [Error: Greengrass is not authorized to assume the Service Role associated with this account, o el error: Failed: TES service role is not associated with this account.](#troubleshoot-assume-service-role)
+ [Error: permiso denegado al intentar usar el rol arn:aws:iam::<account-id>:role/<role-name> para acceder a la URL de s3 https://<region>-greengrass-updates.s3.<region>.amazonaws.com/core/<architecture>/greengrass-core-<distribution-version>.tar.gz.](#troubleshoot-ota-region-access)
+ [La sombra del dispositivo no se sincroniza con la nube.](#troubleshoot-shadow-sync)
+ [No estoy autorizado a realizar las siguientes tareas: PassRole](#security_iam_troubleshoot-passrole)
+ [Soy administrador y quiero permitir el acceso de otras personas AWS IoT Greengrass](#security_iam_troubleshoot-admin-delegate)
+ [Quiero permitir que personas ajenas a mi Cuenta de AWS para acceder a mi AWS IoT Greengrass recursos](#security_iam_troubleshoot-cross-account-access)

Para obtener ayuda general de solución de problemas, consulte [Resolución de problemas AWS IoT Greengrass](gg-troubleshooting.md).

## No estoy autorizado a realizar ninguna acción en AWS IoT Greengrass
<a name="security_iam_troubleshoot-no-permissions"></a>

Si recibe un error que indica que no está autorizado para llevar a cabo una acción, debe ponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que le facilitó su nombre de usuario y contraseña.

En el siguiente ejemplo, el error se produce cuando el usuario de IAM de `mateojackson` intenta ver detalles sobre una versión de definición del núcleo, pero no tiene permisos `greengrass:GetCoreDefinitionVersion`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: greengrass:GetCoreDefinitionVersion on resource: resource: arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE
```

En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `arn:aws:greengrass:us-west-2:123456789012:/greengrass/definition/cores/78cd17f3-bc68-ee18-47bd-5bda5EXAMPLE/versions/368e9ffa-4939-6c75-859c-0bd4cEXAMPLE` mediante la acción `greengrass:GetCoreDefinitionVersion`.

## Error: Greengrass is not authorized to assume the Service Role associated with this account, o el error: Failed: TES service role is not associated with this account.
<a name="troubleshoot-assume-service-role"></a>

**Solución:** Es posible que vea este error cuando la implementación no se realiza correctamente. Compruebe que un rol de servicio de Greengrass esté asociado a su Cuenta de AWS en la Región de AWS actual. Para obtener más información, consulte [Administración del rol de servicio de Greengrass (CLI)](service-role.md#manage-service-role-cli) o [Administración del rol de servicio de Greengrass (consola)](service-role.md#manage-service-role-console).

## Error: permiso denegado al intentar usar el rol arn:aws:iam::<account-id>:role/<role-name> para acceder a la URL de s3 https://<region>-greengrass-updates.s3.<region>.amazonaws.com/core/<architecture>/greengrass-core-<distribution-version>.tar.gz.
<a name="troubleshoot-ota-region-access"></a>

**Solución:** Es posible que vea este error cuando una actualización transparente (OTA) no se realiza correctamente. En la política de rol de firma, añada la Región de AWS de destino como `Resource`. Esta función de firmante se utiliza para prefirmar la URL de S3 para la actualización de AWS IoT Greengrass software. Para obtener más información, consulte [Rol de firmante de URL de S3](core-ota-update.md#s3-url-signer-role).

## La sombra del dispositivo no se sincroniza con la nube.
<a name="troubleshoot-shadow-sync"></a>

**Solución:** asegúrese de que AWS IoT Greengrass tiene permisos `iot:UpdateThingShadow` y `iot:GetThingShadow` acciones para el rol de [servicio de Greengrass](service-role.md). Si el rol de servicio utiliza la política administrada `AWSGreengrassResourceAccessRolePolicy`, estos permisos se incluyen de forma predeterminada.

Consulte [Solución de problemas con los tiempos de espera de la sincronización de sombras](gg-troubleshooting.md#troubleshooting-shadow-sync).

A continuación se indican problemas de IAM generales que puede encontrar al trabajar con AWS IoT Greengrass.

## No estoy autorizado a realizar las siguientes tareas: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS IoT Greengrass.

Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AWS IoT Greengrass. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## Soy administrador y quiero permitir el acceso de otras personas AWS IoT Greengrass
<a name="security_iam_troubleshoot-admin-delegate"></a>

Para permitir el acceso de otras personas AWS IoT Greengrass, debes conceder permiso a las personas o aplicaciones que necesitan acceso. Si usa AWS IAM Identity Center para administrar las personas y las aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.

Si no utiliza IAM Identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debe asociar una política a la entidad que le conceda los permisos correctos en AWS IoT Greengrass. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.

## Quiero permitir que personas ajenas a mi Cuenta de AWS para acceder a mi AWS IoT Greengrass recursos
<a name="security_iam_troubleshoot-cross-account-access"></a>

Puede crear una función de IAM que los usuarios de otras cuentas o personas ajenas a su organización puedan utilizar para acceder a sus AWS recursos. Puede especificar una persona de confianza para que asuma el rol. Para obtener más información, consulte [Proporcionar acceso a un usuario de IAM en otro Cuenta de AWS usuario de su](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) propiedad y [Proporcionar acceso a cuentas de Amazon Web Services propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del *usuario de IAM*.

AWS IoT Greengrass no admite el acceso entre cuentas en función de políticas basadas en recursos o listas de control de acceso (ACL).