Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Outposts
La seguridad AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad de la nube y seguridad en la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de cumplimiento aplicables AWS Outposts, consulte [AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad y AWS servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Para obtener más información sobre la seguridad y el cumplimiento AWS Outposts, consulte las [Preguntas frecuentes sobre de AWS Outposts rack](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance).
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS Outposts. Muestra cómo cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus recursos.
**Topics**
+ [Protección de datos](data-protection.md)
+ [Identity and Access Management](identity-access-management.md)
+ [Seguridad de la infraestructura](infrastructure-security.md)
+ [Resiliencia](disaster-recovery-resiliency.md)
+ [Validación de conformidad](compliance-validation.md)
+ [Acceso a Internet](internet-access.md)
# Protección de datos en AWS Outposts
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS Outposts. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. Este contenido incluye las tareas de configuración y administración de la seguridad Servicios de AWS que utilice.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales.
Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
## Cifrado en reposo
Con AWS Outposts, todos los datos se cifran en reposo. El material clave está encapsulado en una clave externa almacenada en un dispositivo extraíble: la clave de seguridad Nitro (NSK). La NSK es necesaria para descifrar los datos de sus bastidores de Outposts.
Puede utilizar el cifrado de Amazon EBS para volúmenes e instantáneas de EBS. El cifrado de Amazon EBS utiliza AWS Key Management Service (AWS KMS) y claves KMS. Para obtener más información, consulte [Amazon EBS Encryption](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) en la Guía del *usuario de Amazon EBS*.
## Cifrado en tránsito
AWS cifra los datos en tránsito entre su Outpost y su región. AWS Para obtener más información, consulte [Conectividad a través de enlace de servicio](service-links.md).
Puede utilizar un protocolo de cifrado, como la Seguridad de la capa de transporte (TLS) para cifrar datos en tránsito confidenciales a través de la puerta de enlace local a la red local.
## Eliminación de datos
Al detener o finalizar una instancia EC2, el hipervisor limpia la memoria que tiene asignada (la establece en cero) antes de asignarla a una instancia nueva. Además, se restablece cada bloque de almacenamiento.
Al destruir la clave de seguridad Nitro, los datos de su Outpost se destruyen criptográficamente.
# Gestión de identidad y acceso (IAM) para AWS Outposts
AWS Identity and Access Management (IAM) es un AWS servicio que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede autenticarse (iniciar sesión) y quién puede autorizarse (tener permisos) para usar los recursos. AWS Outposts El uso de IAM no está sujeto a ningún cargo adicional.
**Topics**
+ [Cómo funciona AWS Outposts con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas](security_iam_id-based-policy-examples.md)
+ [Roles vinculados a servicios](using-service-linked-roles.md)
+ [AWS políticas gestionadas](security-iam-awsmanpol.md)
# Cómo funciona AWS Outposts con IAM
Antes de usar IAM para administrar el acceso a AWS Outposts, descubre qué funciones de IAM están disponibles para usar con Outposts. AWS
| Característica de IAM | AWS Soporte para Outposts |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| Políticas basadas en recursos | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| ACLs | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions) | Sí |
| Roles de servicio | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
## Políticas basadas en la identidad para Outposts AWS
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en identidad para Outposts AWS
Para ver ejemplos de políticas basadas en la identidad de AWS Outposts, consulte. [AWS Ejemplos de políticas de Outposts](security_iam_id-based-policy-examples.md)
## Acciones políticas para AWS Outposts
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de las acciones de AWS Outposts, consulta las [acciones definidas AWS Outposts en la Referencia](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions) de *autorización del servicio*.
Las acciones políticas en AWS Outposts usan el siguiente prefijo antes de la acción:
```
outposts
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `List`, incluya la siguiente acción:
```
"Action": "outposts:List*"
```
## Recursos de políticas para AWS Outposts
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Algunas acciones de la API de AWS Outposts admiten varios recursos. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver una lista de los tipos de recursos de AWS Outposts y sus tipos ARNs, consulta los [tipos de recursos definidos AWS Outposts en la Referencia](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies) de *autorización de servicio*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
## Claves condicionales de la política para AWS Outposts
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de las claves de condición de AWS Outposts, consulta las claves de [condición AWS Outposts en la Referencia](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys) de *autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
Para ver ejemplos de políticas basadas en la identidad de AWS Outposts, consulte. [AWS Ejemplos de políticas de Outposts](security_iam_id-based-policy-examples.md)
## ABAC con Outposts AWS
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con AWS Outposts
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando utilizas la federación o cambias de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Permisos principales entre servicios para Outposts AWS
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos del operador principal que realiza la llamada Servicio de AWS, junto con los que solicitan, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones vinculadas al servicio para Outposts AWS
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre la creación o administración de AWS roles vinculados al servicio Outposts, consulte. [Funciones vinculadas al servicio para AWS Outposts](using-service-linked-roles.md)
# AWS Ejemplos de políticas de Outposts
De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar los recursos de AWS Outposts. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por AWS Outposts, incluido el formato de cada uno de los tipos de recursos, consulta [las claves de condición, recursos y acciones de la Referencia AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html) de *autorización de servicio*. ARNs
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Ejemplo: uso de permisos de nivel de recursos](#outposts-policy-examples)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar los recursos de AWS Outposts de tu cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Ejemplo: uso de permisos de nivel de recursos
El siguiente ejemplo utiliza permisos a nivel de recursos para conceder permisos, con el fin de obtener información acerca del Outpost especificado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
El siguiente ejemplo utiliza permisos de nivel de recurso para conceder permiso para obtener información acerca del sitio especificado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# Funciones vinculadas al servicio para AWS Outposts
AWS Outposts usa roles vinculados al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo de rol de servicio al que se vincula directamente. AWS Outposts AWS Outposts define los roles vinculados al servicio e incluye todos los permisos necesarios para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio hace que la configuración sea AWS Outposts más eficiente, ya que no es necesario añadir manualmente los permisos necesarios. AWS Outposts define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Outposts puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos relacionados. Esto protege sus AWS Outposts recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
## Permisos de rol vinculados al servicio para AWS Outposts
AWS Outposts **usa el rol vinculado al servicio denominado AWSService RoleForOutposts \$1. *OutpostID*** Este rol otorga a Outposts permisos para administrar los recursos de red y habilitar la conectividad privada en tu nombre. Esta función también permite a Outposts crear y configurar interfaces de red, gestionar grupos de seguridad y adjuntar interfaces a instancias de punto final de enlace de servicio. Estos permisos son necesarios para establecer y mantener una conexión privada y segura entre tu Outpost local y los AWS servicios, lo que garantiza un funcionamiento fiable de tu implementación de Outpost.
El rol AWSService RoleForOutposts \$1 *OutpostID* vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `outposts.amazonaws.com`
### Políticas de funciones vinculadas al servicio
El rol AWSService RoleForOutposts \$1 *OutpostID* vinculado al servicio incluye las siguientes políticas:
+ [AWSOutpostsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostsServiceRolePolicy
La `AWSOutpostsServiceRolePolicy` política permite el acceso a AWS los recursos gestionados por. AWS Outposts
Esta política permite AWS Outposts realizar las siguientes acciones en los recursos especificados:
+ Acción: `ec2:DescribeNetworkInterfaces` en todos los AWS recursos
+ Acción: `ec2:DescribeSecurityGroups` sobre todos los AWS recursos
+ Acción: `ec2:DescribeSubnets` sobre todos los AWS recursos
+ Acción: `ec2:DescribeVpcEndpoints` sobre todos los AWS recursos
+ Acción: `ec2:CreateNetworkInterface` sobre los siguientes AWS recursos:
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ Acción: `ec2:CreateNetworkInterface` en el AWS recurso `"arn:*:ec2:*:*:network-interface/*"` que cumpla la siguiente condición:
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ Acción: `ec2:CreateSecurityGroup` en los siguientes AWS recursos:
```
"arn:*:ec2:*:*:vpc/*"
```
+ Acción: `ec2:CreateSecurityGroup` en el AWS recurso `"arn:*:ec2:*:*:security-group/*"` que cumpla la siguiente condición:
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostsPrivateConnectivityPolicy\$1OutpostID
La `AWSOutpostsPrivateConnectivityPolicy_OutpostID` política permite AWS Outposts realizar las siguientes acciones en los recursos especificados:
+ Acción: `ec2:AuthorizeSecurityGroupIngress` en todos los AWS recursos que cumplan la siguiente condición:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Acción: `ec2:AuthorizeSecurityGroupEgress` en todos los AWS recursos que cumplan la siguiente condición:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Acción: `ec2:CreateNetworkInterfacePermission` en todos los AWS recursos que cumplan la siguiente condición:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Acción: `ec2:CreateTags` en todos los AWS recursos que cumplan la siguiente condición:
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ Acción: `ec2:RevokeSecurityGroupIngress` en todos los AWS recursos que cumplan la siguiente condición:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Acción: `ec2:RevokeSecurityGroupEgress` en todos los AWS recursos que cumplan la siguiente condición:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Acción: `ec2:DeleteNetworkInterface` en todos los AWS recursos que cumplan la siguiente condición:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Acción: `ec2:DeleteSecurityGroup` en todos los AWS recursos que cumplan la siguiente condición:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cree un rol vinculado a un servicio para AWS Outposts
No necesita crear manualmente un rol vinculado a servicios. Cuando configuras la conectividad privada para tu Outpost en Consola de administración de AWS, AWS Outposts crea automáticamente el rol vinculado al servicio.
Para obtener más información, consulte [Opciones de conectividad privada de Service Link](private-connectivity.md).
## Edita un rol vinculado a un servicio para AWS Outposts
AWS Outposts no permite editar el rol AWSService RoleForOutposts \$1 vinculado al *OutpostID* servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Actualizar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) en la *Guía del usuario de IAM*.
## Elimine un rol vinculado a un servicio para AWS Outposts
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, evitará tener una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
Si el AWS Outposts servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Debes eliminar tu Outpost para poder eliminar el rol AWSService RoleForOutposts \$1 vinculado al *OutpostID* servicio.
Antes de empezar, asegúrate de que tu Outpost no se comparta mediante (). AWS Resource Access Manager AWS RAM Para obtener más información, consulta [Dejar de compartir un recurso de Outpost compartido](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare).
**Para eliminar AWS Outposts los recursos utilizados por \$1 AWSService RoleForOutposts *OutpostID***
Ponte en contacto con AWS Enterprise Support para eliminar tu Outpost.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados AWS Outposts al servicio
AWS Outposts admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulta los FAQs racks de [Outposts](https://aws.amazon.com/outposts/rack/faqs/).
# AWS políticas gestionadas para AWS Outposts
Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSOutposts ServiceRolePolicy
Esta política está asociada a un rol vinculado a un servicio que permite a AWS Outposts realizar acciones en tu nombre. Para obtener más información, consulte [Roles vinculados a servicios](using-service-linked-roles.md).
## AWS Outposts actualiza las políticas gestionadas AWS
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de AWS Outposts desde que este servicio comenzó a rastrear estos cambios.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Actualizaciones del rol vinculado al servicio \$1 AWS Identity and Access Management AWSService RoleForOutposts OutpostID | Los permisos del rol AWSServiceRoleForOutposts\$1 OutpostID vinculado al servicio se actualizan para refinar la forma en que se AWS Outposts administran los recursos de red para la conectividad privada, y se necesitan controles más precisos sobre las operaciones de la interfaz de red y los grupos de seguridad para las instancias de punto final del enlace de servicio. | 18 de abril de 2025 |
| AWS Outposts comenzó a rastrear los cambios | AWS Outposts comenzó a rastrear los cambios en sus políticas AWS gestionadas. | 03 de diciembre de 2019 |
# Seguridad de la infraestructura en AWS Outposts
Como servicio gestionado, AWS Outposts está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utilizas las llamadas a la API AWS publicadas para acceder a AWS Outposts a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Para obtener más información sobre la seguridad de la infraestructura proporcionada para las instancias de EC2 y los volúmenes de EBS que se ejecutan en su Outpost, consulte [Seguridad de infraestructura en Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html).
Los registros de flujo de VPC funcionan de la misma manera que en una AWS región. Esto significa que se pueden publicar en CloudWatch Logs, Amazon S3 o Amazon GuardDuty para su análisis. Los datos deben enviarse a la región para su publicación en estos servicios, de modo que no sean visibles desde CloudWatch otros servicios cuando el Outpost esté desconectado.
## Supervisión de manipulaciones en los equipos AWS Outposts
Asegúrese de que nadie modifique, altere, realice ingeniería inversa ni manipule el equipo. AWS Outposts AWS Outposts [el equipo puede estar equipado con un sistema de control de manipulaciones para garantizar el cumplimiento de las condiciones del servicio.AWS](https://aws.amazon.com/service-terms/)
# Resiliencia en AWS Outposts
AWS Outposts está diseñado para ofrecer una alta disponibilidad. Los bastidores de Outposts están diseñados con equipos de red y alimentación redundantes. Para obtener una mayor resiliencia, le recomendamos que proporcione fuentes de alimentación duales y conectividad de red redundante para su Outpost.
Para una alta disponibilidad, puede aprovisionar capacidad adicional integrada y siempre activa en los bastidores de Outpost, . Las configuraciones de capacidad de Outpost están diseñadas para funcionar en entornos de producción y admiten instancias N\$11 para cada familia de instancias cuando se aprovisiona la capacidad necesaria para ello. AWS recomienda asignar suficiente capacidad adicional para sus aplicaciones de misión crítica, a fin de permitir la recuperación y la conmutación por error si se produce un problema con el host subyacente. Puedes usar las métricas de disponibilidad de CloudWatch capacidad de Amazon y configurar alarmas para monitorear el estado de tus aplicaciones, crear CloudWatch acciones para configurar las opciones de recuperación automática y monitorear la utilización de la capacidad de tus Outposts a lo largo del tiempo.
Al crear un puesto de avanzada, selecciona una zona de disponibilidad de una AWS región. Esta zona de disponibilidad admite operaciones del plano de control, como responder a las llamadas a la API, supervisar el Outpost y actualizar el Outpost. Para aprovechar la resiliencia que ofrecen las zonas de disponibilidad, puede implementar aplicaciones en varios Outposts, cada uno de ellos conectado a una zona de disponibilidad diferente. Esto le permite aumentar la resiliencia de las aplicaciones y evitar la dependencia de una única zona de disponibilidad. Para obtener más información sobre las zonas de disponibilidad y las regiones de disponibilidad, consulte [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Puede usar un grupo de ubicación con una estrategia de dispersión, a fin de asegurarse de que las instancias se coloquen en distintos bastidores de Outposts. De este modo, puede ayudar a reducir las fallas correlacionadas. Para obtener más información, consulte [Grupos de ubicación en Outposts](outposts-optimizations.md#placement-groups-outpost).
Puede lanzar instancias en Outposts con Amazon EC2 Auto Scaling y crear un equilibrador de carga de aplicación para distribuir el tráfico entre las instancias. Para obtener más información, consulte [Configurar un Equilibrador de carga de aplicación en AWS Outposts](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/).
# Validación de conformidad para AWS Outposts
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Acceso a Internet para cargas AWS Outposts de trabajo
En esta sección se explica cómo AWS Outposts las cargas de trabajo pueden acceder a Internet de las siguientes maneras:
+ A través de la región principal AWS
+ A través de la red de su centro de datos local
## Acceso a Internet a través de la AWS región principal
En esta opción, las cargas de trabajo de los Outposts acceden a Internet a través del enlace de servicio y, después, a través de la pasarela de Internet (IGW) de la región principal. AWS El tráfico saliente a Internet puede enrutarse a través de la instancia de puerta de enlace de NAT creada en su VPC. Para aumentar la seguridad del tráfico de entrada y salida, puede utilizar servicios de AWS seguridad como AWS WAF AWS Shield, y Amazon CloudFront in the AWS Region.
Para ver la configuración de la tabla de enrutamiento en la subred de Outposts, consulte [Local gateway route tables](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Consideraciones
+ Use esta opción cuando:
+ Necesita flexibilidad para proteger el tráfico de Internet con varios AWS servicios en la AWS región.
+ No tenga un punto de presencia de Internet en su centro de datos o centro de coubicación.
+ En esta opción, el tráfico debe atravesar la AWS región principal, lo que introduce latencia.
+ Al igual que ocurre con los cargos por transferencia de datos en AWS las regiones, la transferencia de datos desde la zona de disponibilidad principal al puesto avanzado conlleva gastos. Para obtener más información sobre los precios de transferencia de datos, consulte [Precios de Amazon EC2 bajo demanda](https://aws.amazon.com/ec2/pricing/on-demand/).
+ La utilización del ancho de banda del enlace de servicio aumentará.
La siguiente imagen muestra el tráfico entre la carga de trabajo de la instancia de Outposts e Internet que pasa por la región principal AWS .
![\[Muestra el tráfico entre la carga de trabajo de la instancia de Outposts e Internet que pasa por la región principal AWS .\]](http://docs.aws.amazon.com/es_es/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## Acceso a Internet a través de la red de su centro de datos local
En esta opción, las cargas de trabajo que residen en los Outposts acceden a Internet a través de su centro de datos local. El tráfico de carga de trabajo que accede a Internet pasa por el punto de presencia local de Internet y sale localmente. La capa de seguridad de la red de su centro de datos local es responsable de proteger el tráfico de carga de trabajo de Outposts.
Para ver la configuración de la tabla de enrutamiento en la subred de Outposts, consulte [Local gateway route tables](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Consideraciones
+ Use esta opción cuando:
+ Sus cargas de trabajo requieren un acceso de baja latencia a los servicios de Internet.
+ Prefiere evitar incurrir en cargos por transferencia de datos saliente (DTO).
+ Desea conservar el ancho de banda del enlace de servicio para el tráfico del plano de control.
+ Su capa de seguridad es responsable de proteger el tráfico de carga de trabajo de Outposts.
+ Si optas por el enrutamiento directo de VPC (DVR), debes asegurarte de que los Outposts CIDRs no entren en conflicto con los locales. CIDRs
+ Si la ruta predeterminada (0/0) se propaga a través de la puerta de enlace local (LGW), es posible que las instancias no puedan llegar a los puntos de conexión del servicio. Como alternativa, puede elegir puntos de conexión de VPC para acceder al servicio deseado.
La siguiente imagen muestra el tráfico entre la carga de trabajo de la instancia de Outposts e Internet que pasa por su centro de datos local.
![\[Muestra el tráfico entre la carga de trabajo de la instancia de Outposts e Internet que pasa por su centro de datos local.\]](http://docs.aws.amazon.com/es_es/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)