

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración de permisos en AMS con roles y perfiles de IAM
<a name="setting-permissions"></a>

AMS utiliza AWS Identity and Access Management (IAM) para administrar los usuarios, las credenciales de seguridad, como las claves de acceso, y los permisos que controlan a qué AWS recursos pueden acceder los usuarios y las aplicaciones. AMS proporciona un rol de usuario de IAM predeterminado y un perfil de instancia Amazon EC2 predeterminado (que incluye una declaración que permite al recurso acceder al rol de usuario de IAM predeterminado).

## Solicitar un nuevo perfil de instancia o rol de usuario de IAM
<a name="request-new-role-or-profile"></a>

AMS usa una función de IAM para establecer los permisos de usuario a través del servicio de federación y un perfil de instancia de IAM como contenedor para esa función de IAM.

Puede solicitar un rol de IAM personalizado con el tipo de cambio Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Crear entidad o política (automatización gestionada) (ct-3dpd8mdd9jn1r), o un perfil de instancia de IAM con el tipo de cambio Management \$1 Applications \$1 IAM instance profile \$1 Create Management \$1 Applications \$1 IAM instance profile \$1 Create (automatización gestionada) ixp4ch2tiu04). Consulte las descripciones de cada uno en esta sección.

**nota**  
AMS tiene una política de IAM `customer_deny_policy` que bloquea los espacios de nombres y las acciones peligrosas. Esta política está asociada a todos los roles de cliente de AMS de forma predeterminada y rara vez supone un problema para los usuarios. Sus solicitudes de usuarios y roles de IAM no incluyen esta política, pero incluirla automáticamente `customer_deny_policy` en las solicitudes de roles de IAM ayuda a AMS a implementar nuevos perfiles de instancias de IAM con mayor rapidez. Puede solicitar la exclusión de la política. `customer_deny_policy` Sin embargo, esta solicitud se someterá a una revisión de seguridad exhaustiva y es probable que se rechace por motivos de seguridad.

# Restrinja los permisos con las declaraciones de política de funciones de IAM
<a name="request-iam-user"></a>

AMS usa una función de IAM para establecer los permisos de usuario a través del servicio de federación.

**Zona de destino de una sola cuenta AMS**: consulte [SALZ: roles de usuario de IAM predeterminados](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role).

**Zona de destino multicuenta AMS**: consulte [MALZ:](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html#json-default-role-malz) roles de usuario de IAM predeterminados.

Un rol de IAM es una entidad de IAM que define un conjunto de permisos para realizar solicitudes de servicio. AWS Los roles de IAM no están asociados a un usuario o grupo específico. En cambio, las entidades de confianza asumen funciones, como los usuarios, las aplicaciones o los AWS servicios de IAM, como Amazon EC2. Para obtener más información, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

Puede definir la política que desee para un usuario que asuma el rol de usuario de IAM de AMS mediante la operación de API del AWS Security Token Service (STS), [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)introduciendo una política de IAM más restrictiva en el campo de solicitud. `Policy`

A continuación, se incluyen ejemplos de declaraciones de política que puede utilizar para restringir el acceso a CT.

Con los grupos de Active Directory (AD) configurados y la operación de la API del AWS Security Token Service (STS) [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html), puede establecer permisos para determinados usuarios o grupos, incluida la restricción del acceso a determinados tipos de cambios (CTs). Puede usar las declaraciones de política que se muestran a continuación para restringir el acceso a CT de varias maneras.

Declaración de cambio de tipo de AMS en el perfil de instancia de IAM predeterminado que permite el acceso a todas las llamadas a la API de AMS (amscm y amsskms) y a todos los tipos de cambios:

```
{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}
```

1. Declaración que permite el acceso y todas las acciones solo a dos de las especificadas CTs, donde «Acción» se refiere a las operaciones de la API de AMS (una `amscm` o varias`amsskms`) y «Recurso» representa el tipo de cambio y el número de versión existentes: IDs 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "amscm:*",
               "Resource": [
                   "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                   "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
               ]
           }
       ]
   }
   ```

------

1. Se especificó una declaración que permitía el acceso a CreateRfc UpdateRfc, y SubmitRfc solo a dos de ellas CTs:

1. Declaración para permitir el acceso a CreateRfc UpdateRfc, y SubmitRfc en todos los disponibles CTs:

1. Declaración para denegar el acceso a todas las acciones en las zonas restringidas de Connecticut y permitir otras CTs:

# Restrinja los permisos con los perfiles de instancia de Amazon EC2 IAM
<a name="request-instance-profile"></a>

Un perfil de instancia de IAM es un contenedor para un rol de IAM que puedes usar para pasar la información del rol a una EC2 instancia de Amazon cuando se inicia la instancia.

Actualmente, `customer-mc-ec2-instance-profile` existe un perfil de instancia predeterminado de AWS Managed Services (AMS) que concede permisos a las aplicaciones que se ejecutan en la instancia, no a los usuarios que inician sesión en ella. Es posible que desee modificar el perfil de instancia predeterminado o crear uno nuevo si quiere conceder a una instancia acceso a algo sin conceder también el acceso a otras instancias. Puede solicitar un nuevo perfil de instancia de IAM con la opción Gestión \$1 Aplicaciones \$1 Perfil de instancia de IAM \$1 Crear tipo de cambio (ct-0ixp4ch2tiu04). Al enviar la RFC, puede crear su propio perfil de instancia e incluirlo como tal, o simplemente informar a AMS (utilizando el mismo InstanceProfileDescription campo) de los cambios que desea realizar. Como se trata de un CT manual, AMS debe aprobar el cambio y se pondrá en contacto contigo al respecto.

Si no estás familiarizado con las políticas de Amazon IAM, consulta [Descripción general de las políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) para obtener información importante. También hay una buena entrada de blog, [Demystifying EC2 Amazon](https://aws.amazon.com/blogs/security/demystifying-ec2-resource-level-permissions/) Resource-Level Permissions. [Tenga en cuenta que, actualmente, AMS no admite el control de acceso basado en recursos, pero sí admite controles a nivel de recursos mediante políticas de funciones de IAM (para obtener una explicación de la diferencia, consulte Servicios que funcionan con IAM).AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)

**Zona de destino con una sola cuenta (AMS**):

Para ver una tabla de permisos que concede el perfil de instancia de IAM de AMS predeterminado, vaya a Perfil de instancia de [EC2 IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/defaults-user-role.html).