Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Resource Access Manager
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información acerca de los programas de conformidad que se aplican a AWS Resource Access Manager (AWS RAM), consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS RAM. Los siguientes temas muestran cómo configurarlo AWS RAM para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS RAM recursos.
**Topics**
+ [Protección de datos en AWS Resource Access Manager](data-protection.md)
+ [Administración de identidad y acceso para AWS Resource Access Manager](security-iam.md)
+ [Registro y monitorización en AWS RAM](security-monitoring.md)
+ [Validación de conformidad para AWS Resource Access Manager](compliance-validation.md)
+ [Resiliencia en AWS Resource Access Manager](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en AWS Resource Access Manager](infrastructure-security.md)
+ [Acceso AWS Resource Access Manager mediante un punto final de interfaz (AWS PrivateLink)](vpc-interface-endpoints.md)
# Protección de datos en AWS Resource Access Manager
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS Resource Access Manager. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con AWS RAM o Servicios de AWS utiliza la consola, la API o AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Administración de identidad y acceso para AWS Resource Access Manager
AWS Identity and Access Management (IAM) es un AWS servicio que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede *autenticarse* (iniciar sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AWS Al usar IAM, usted crea principios, como roles, usuarios y grupos en su. Cuenta de AWS Usted controla los permisos que tienen esos directores para realizar tareas utilizando los recursos. AWS El uso de IAM no está sujeto a ningún cargo adicional. Para obtener más información sobre cómo administrar y crear políticas de IAM personalizadas, consulte [Administrar políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) en la *Guía del usuario de *.
**Topics**
+ [Cómo AWS RAM funciona con IAM](security-iam-policies.md)
+ [AWS políticas gestionadas para AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [Uso de roles vinculados a servicios para AWS RAM](using-service-linked-roles.md)
+ [Ejemplos de políticas de IAM para AWS RAM](security-iam-policies-examples.md)
+ [Ejemplos de políticas de control de servicios para AWS Organizations y AWS RAM](security-scp.md)
+ [Deshabilitar el uso compartido de recursos con AWS Organizations](security-disable-sharing-with-orgs.md)
# Cómo AWS RAM funciona con IAM
De forma predeterminada, los directores de IAM no tienen permiso para crear o modificar recursos. AWS RAM Para permitir que las entidades principales de IAM creen o modifiquen recursos y realicen tareas, debe realizar uno de los pasos siguientes. Estas acciones conceden permiso a los usuarios para utilizar recursos y acciones de API específicos.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en: AWS IAM Identity Center
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
AWS RAM proporciona varias políticas AWS administradas que puede utilizar para satisfacer las necesidades de muchos usuarios. Para obtener más información al respecto, consulte [AWS políticas gestionadas para AWS Resource Access Manager](security-iam-awsmanpol.md).
Si necesita un control más preciso de los permisos que concede a sus usuarios, puede crear sus propias políticas en la consola de IAM. Para obtener información sobre cómo crear políticas y adjuntarlas a sus roles y usuarios de IAM, consulte [Políticas y permisos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de AWS Identity and Access Management *.
En las siguientes secciones se proporcionan los detalles AWS RAM específicos para crear una política de permisos de IAM.
**Contents**
+ [Estructura de la política](#structure)
+ [Efecto](#iam-policies-effect)
+ [Action](#iam-policies-action)
+ [Recurso](#iam-policies-resource)
+ [Condición](#iam-policies-condition)
## Estructura de la política
Una política de permisos de IAM es un documento JSON que incluye las siguientes instrucciones: Effect, Action, Resource y Condition. Las políticas de IAM suelen tener el siguiente formato.
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### Efecto
La instrucción *Effect* indica si la política permite o deniega a una entidad principal el permiso para realizar una acción. Los valores posibles incluyen: `Allow` y `Deny`.
### Action
La declaración *Action* especifica las acciones de la AWS RAM API para las que la política permite o deniega el permiso. Para obtener una lista de las acciones permitidas, consulte [Acciones definidas por AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions) en la *Guía del usuario de IAM*.
### Recurso
La declaración *Resource* especifica los AWS RAM recursos a los que afecta la política. Para especificar un recurso en la instrucción, debe usar su nombre de recurso de Amazon (ARN) exclusivo. Para obtener una lista completa de los recursos permitidos, consulte [Recursos definidos por AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies) en la *Guía del usuario de IAM*.
### Condición
Las instrucciones *Condition* son opcionales. Se pueden utilizar para refinar aún más las condiciones en las que se aplica la política. AWS RAM admite las siguientes claves de condición:
+ `aws:RequestTag/${TagKey}`: comprueba si la solicitud de servicio que incluye una etiqueta con la clave de etiqueta especificada existe y tiene el valor especificado.
+ `aws:ResourceTag/${TagKey}`: comprueba si el recurso sobre el que ha actuado la solicitud de servicio tiene una etiqueta adjunta con una clave de etiqueta que se especifique en la política.
La siguiente condición de ejemplo comprueba que el recurso al que se hace referencia en la solicitud de servicio tiene una etiqueta adjunta con el nombre de clave "Owner" y el valor "Dev Team".
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys`: especifica las claves de etiqueta que se deben utilizar para crear o etiquetar un recurso compartido.
+ `ram:AllowsExternalPrincipals`: comprueba si el recurso compartido de la solicitud de servicio permite el uso compartirlo con entidades principales externas. Un director externo es una persona Cuenta de AWS externa a la organización que está dentro AWS Organizations. Si el valor que arroja es `False`, solo podrá compartir este recurso compartido con cuentas de la misma organización.
+ `ram:PermissionArn`: comprueba si el ARN del permiso especificado en la solicitud de servicio coincide con una cadena de ARN que especifique en la política.
+ `ram:PermissionResourceType`: comprueba si el permiso especificado en la solicitud de servicio es válido para el tipo de recurso que especifique en la política. Especifique los tipos de recursos utilizando el formato que se muestra en la lista de [tipos de recursos que se pueden compartir](shareable.md).
+ `ram:Principal`: comprueba si el ARN de la entidad principal especificada en la solicitud de servicio coincide con una cadena de ARN que especifique en la política.
+ `ram:RequestedAllowsExternalPrincipals`: comprueba si la solicitud de servicio incluye el parámetro `allowExternalPrincipals` y si su argumento coincide con el valor que especifique en la política.
+ `ram:RequestedResourceType`: comprueba si el tipo de recurso sobre el que se está actuando coincide con una cadena de tipo de recurso que especifique en la política. Especifique los tipos de recursos utilizando el formato que se muestra en la lista de [tipos de recursos que se pueden compartir](shareable.md).
+ `ram:ResourceArn`: comprueba si el ARN del recurso sobre el que actúa la solicitud de servicio coincide con un ARN que especifique en la política.
+ `ram:ResourceShareName`: comprueba si el nombre del recurso compartido sobre el que actúa la solicitud de servicio coincide con una cadena que especifique en la política.
+ `ram:ShareOwnerAccountId`: comprueba que el número de ID de cuenta del recurso compartido sobre el que actúa la solicitud de servicio coincide con una cadena que especifique en la política.
# AWS políticas gestionadas para AWS Resource Access Manager
AWS Resource Access Manager actualmente proporciona varias políticas AWS RAM administradas, que se describen en este tema.
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [Actualizaciones de políticas](#security-iam-awsmanpol-updates)
En la lista anterior, puede asociar las tres primeras políticas a sus roles, grupos y usuarios de IAM para conceder permisos. La última política de la lista está reservada para el rol vinculado al servicio de AWS RAM .
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSResource AccessManagerReadOnlyAccess
Puede vincular la política `AWSResourceAccessManagerReadOnlyAccess` a sus identidades de IAM.
Esta política proporciona permisos de solo lectura a los recursos compartidos que son propiedad de su Cuenta de AWS.
Para hacerlo, concede permiso para ejecutar cualquiera de las operaciones `Get*` o`List*`. No permite modificar ningún recurso compartido.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ram`: permite a las entidades principales ver los detalles relativos a los recursos compartidos que son propiedad de la cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AWSResource AccessManagerFullAccess
Puede asociar la política `AWSResourceAccessManagerFullAccess` a las identidades de IAM.
Esta política proporciona acceso administrativo completo para ver o modificar los recursos compartidos que son propiedad de su Cuenta de AWS.
Para ello, concede permiso para ejecutar cualquier operación de `ram`.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ram`: permite a las entidades principales ver o modificar cualquier información relativa a los recursos compartidos que son propiedad de la Cuenta de AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AWSResource AccessManagerResourceShareParticipantAccess
Puede asociar la política `AWSResourceAccessManagerResourceShareParticipantAccess` a las identidades de IAM.
Esta política proporciona a los directores la posibilidad de aceptar o rechazar los recursos compartidos con ella y de ver los detalles sobre estos recursos compartidos. Cuenta de AWS No permite modificar esos recursos compartidos.
Para ello, concede permiso para ejecutar algunas operaciones de `ram`.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ram`: permite a las entidades principales aceptar o rechazar invitaciones a recursos compartidos y ver los detalles relativos a los recursos compartidos que se comparten con la cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AWSResource AccessManagerServiceRolePolicy
La política AWS gestionada solo se `AWSResourceAccessManagerServiceRolePolicy` puede utilizar con la función vinculada al servicio para. AWS RAM No puede vincular, desvincular, modificar ni eliminar esta política.
Esta política proporciona acceso AWS RAM de solo lectura a la estructura de su organización. Al habilitar la integración entre AWS RAM y AWS Organizations, crea AWS RAM automáticamente un rol vinculado al servicio con el nombre [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager)que el servicio asume cuando necesita buscar información sobre su organización y sus cuentas, por ejemplo, cuando ve la estructura de la organización en la consola. AWS RAM
Para ello, concede permisos de solo lectura para ejecutar las operaciones `organizations:Describe` y `organizations:List` que proporcionan los detalles de la estructura y las cuentas de la organización.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `organizations`: permite a las entidades principales ver información sobre la estructura de la organización, incluidas las unidades organizativas, y las Cuentas de AWS que contienen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM actualizaciones de las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS RAM desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS RAM documento.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| AWS Resource Access Manager comenzó a rastrear los cambios | AWS RAM documentó sus políticas gestionadas existentes y comenzó a realizar un seguimiento de los cambios. | 16 de septiembre de 2021 |
# Uso de roles vinculados a servicios para AWS RAM
AWS Resource Access Manager [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente al servicio. AWS RAM Los roles vinculados al servicio están predefinidos AWS e incluyen todos los permisos AWS RAM necesarios para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS RAM , ya que no es necesario añadir manualmente los permisos necesarios. AWS RAM define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS RAM puede asumir sus funciones vinculadas al servicio. Los permisos definidos incluyen tanto una política de confianza como una política de permisos, y esta última no se puede vincular a ninguna otra entidad de IAM.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para AWS RAM
AWS RAM utiliza el rol vinculado al servicio denominado `AWSServiceRoleForResourceAccessManager` cuando habilitas el uso compartido con. AWS Organizations Este rol otorga permisos al AWS RAM servicio para ver los detalles de la organización, como la lista de cuentas de los miembros y las unidades organizativas en las que se encuentra cada cuenta.
Este rol vinculado a servicio confía en el siguiente servicio para asumir el rol:
+ `ram.amazonaws.com`
La política de permisos de rol denominada AWSResource AccessManagerServiceRolePolicy está asociada a este rol vinculado al servicio y permite AWS RAM realizar las siguientes acciones en los recursos especificados:
+ Acciones: acciones de solo lectura que permiten recuperar detalles sobre la estructura de la organización. Para ver la lista completa de acciones, puede ver la política en la consola de IAM:. [AWSResourceAccessManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor)
Para que un director active el AWS RAM uso compartido en su organización, ese director (una entidad de IAM, como un usuario, un grupo o un rol) debe tener permiso para crear un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para AWS RAM
No necesita crear manualmente un rol vinculado a servicios. Cuando activas el uso AWS RAM compartido dentro de tu organización Consola de administración de AWS, o cuando ejecutas el rol [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)en tu cuenta mediante una API AWS CLI o una AWS API, se AWS RAM crea automáticamente el rol vinculado al servicio.
Llame a `enable-sharing-with-aws-organizations` para crear el rol vinculado al servicio en su cuenta.
Si eliminas este rol vinculado al servicio, ya AWS RAM no tendrá permisos para ver los detalles de la estructura de tu organización.
## Edición de un rol vinculado a un servicio para AWS RAM
AWS RAM no permite editar el rol vinculado al AWSResource AccessManagerServiceRolePolicy servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS RAM
Puede utilizar la consola de IAM AWS CLI o la AWS API para eliminar manualmente el rol vinculado al servicio.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. `AWSResourceAccessManagerServiceRolePolicy` Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con los roles vinculados al servicio AWS RAM
AWS RAM admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Regiones y puntos de conexión de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) en la *Referencia general de Amazon Web Services*.
# Ejemplos de políticas de IAM para AWS RAM
En este tema se incluyen ejemplos de políticas de IAM AWS RAM que muestran cómo compartir recursos y tipos de recursos específicos y cómo restringir el uso compartido.
**Topics**
+ [Permitir el uso compartido de recursos específicos](#owner-share-specific-resources)
+ [Permitir el uso compartido de tipos de recursos específicos](#owner-share-resource-types)
+ [Restrinja el intercambio con fuentes externas Cuentas de AWS](#control-access-owner-external)
## Ejemplo 1: Permitir el uso compartido de recursos específicos
Puede usar una política de permisos de IAM para restringir las entidades principales y asociar solo determinados recursos a recursos compartidos.
Por ejemplo, la siguiente política permite restringir las entidades principales para que compartan la regla de solucionador con el nombre de recurso de Amazon (ARN) especificado. El operador `StringEqualsIfExists` permite una solicitud si la solicitud no incluye un parámetro `ResourceArn` o, si incluye dicho parámetro, si su valor coincide exactamente con el ARN especificado.
[Para obtener más información sobre cuándo y por qué usar `...IfExists` operadores, consulte... IfExists condicione los operadores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) en la *Guía del usuario de IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## Ejemplo 2: Permitir el uso compartido de tipos de recursos específicos
Puede usar una política de IAM para restringir las entidades principales y asociar solo determinados tipos de recursos a los recursos compartidos.
Las acciones, `AssociateResourceShare` y `CreateResourceShare`, pueden aceptar entidades principales y `resourceArns` como parámetros de entrada independientes. Por lo tanto, AWS RAM autoriza cada principal y cada recurso de forma independiente, por lo que puede haber varios contextos de [solicitud](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html). Esto significa que cuando una entidad principal se asocia a un recurso compartido de AWS RAM , la clave de condición de `ram:RequestedResourceType` no está presente en el contexto de la solicitud. Del mismo modo, cuando se asocia un recurso a un recurso compartido de AWS RAM , la clave de condición de `ram:Principal` no está presente en el contexto de la solicitud. [Por lo tanto, para permitir `AssociateResourceShare` y `CreateResourceShare` asociar los principales al AWS RAM recurso compartido, puede utilizar el `Null` operador de condición.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null)
Por ejemplo, la siguiente política solo permite a las entidades principales compartir reglas de Amazon Route 53 Resolver y les permite asociar cualquier entidad principal a ese recurso compartido.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## Ejemplo 3: Restringir el uso compartido con fuentes externas Cuentas de AWS
Puede utilizar una política de IAM para evitar que los directores compartan recursos con personas Cuentas de AWS ajenas a su AWS organización.
Por ejemplo, la siguiente política de IAM impide que los directores agreguen recursos externos Cuentas de AWS a los recursos compartidos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# Ejemplos de políticas de control de servicios para AWS Organizations y AWS RAM
AWS RAM admite políticas de control de servicios (SCPs). SCPs son políticas que se adjuntan a los elementos de una organización para gestionar los permisos dentro de esa organización. Un SCP se aplica a todos los elementos Cuentas de AWS [incluidos en el elemento al que se adjunta el SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html). SCPs ofrezca un control central sobre el máximo de permisos disponibles para todas las cuentas de su organización. Pueden ayudarlo a garantizar que se Cuentas de AWS mantenga dentro de las pautas de control de acceso de su organización. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) en la *Guía del usuario de AWS Organizations *.
## Requisitos previos
Para usarlo SCPs, primero debe hacer lo siguiente:
+ Habilitar todas las características en la organización. Para obtener más información, consulte [Habilitar todas las características en la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) en la *Guía del usuario de AWS Organizations *.
+ Habilite SCPs su uso en su organización. Para obtener más información, consulte [Habilitar y deshabilitar tipos de políticas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) en la *Guía del usuario de AWS Organizations *.
+ Cree lo SCPs que necesita. Para obtener más información sobre la creación SCPs, consulte [Creación y actualización SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) en la *Guía del AWS Organizations usuario*.
## Ejemplo de políticas de control de servicios
**Contents**
+ [Ejemplo 1: Impedir la posibilidad de compartir externamente](#example-one)
+ [Ejemplo 2: Impedir que los usuarios acepten invitaciones a recursos compartidos desde cuentas externas a la organización](#example-two)
+ [Ejemplo 3: Permitir que determinadas cuentas compartan tipos de recursos específicos](#example-three)
+ [Ejemplo 4: Impedir que se comparta con toda la organización o con unidades organizativas](#example-four)
+ [Ejemplo 5: Permitir compartir solo con determinadas entidades principales](#example-five)
+ [Ejemplo 6: Impedir que se compartan recursos si está activado RetainSharingOnAccountLeaveOrganization](#example-six)
Los siguientes ejemplos le muestran cómo puede controlar varios aspectos del uso compartido de recursos en una organización.
### Ejemplo 1: Impedir la posibilidad de compartir externamente
La siguiente SCP evita que los usuarios puedan crear recursos compartidos que permitan compartir con entidades principales externas a la organización del usuario que comparte.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la convocatoria.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Ejemplo 2: Impedir que los usuarios acepten invitaciones a recursos compartidos desde cuentas externas a la organización
La siguiente SCP impide que cualquier entidad principal de una cuenta afectada acepte una invitación para usar un recurso compartido. Los recursos compartidos que se comparten con otras cuentas de la misma organización que la cuenta que los comparte no generan invitaciones y, por lo tanto, no se ven afectados por esta SCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Ejemplo 3: Permitir que determinadas cuentas compartan tipos de recursos específicos
La siguiente SCP permite que *solo* las cuentas `111111111111` y `222222222222` creen nuevos recursos compartidos que compartan listas de prefijos de Amazon EC2 o listas de prefijos asociadas con recursos compartidos existentes.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la llamada.
El operador `StringEqualsIfExists` permite una solicitud si la solicitud no incluye un parámetro de tipo de recurso o, si incluye ese parámetro, si su valor coincide exactamente con el tipo de recurso especificado. Si incluye una entidad principal, debe tener `...IfExists`.
[Para obtener más información sobre cuándo y por qué usar `...IfExists` operadores, consulte... IfExists condicione los operadores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) en la *Guía del usuario de IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Ejemplo 4: Impedir que se comparta con toda la organización o con unidades organizativas
La siguiente SCP impide que los usuarios creen recursos compartidos que compartan recursos con toda una organización o con cualquier unidad organizativa. Los usuarios *pueden* compartir con personas Cuentas de AWS de la organización o con roles o usuarios de IAM.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la llamada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Ejemplo 5: Permitir compartir solo con determinadas entidades principales
La siguiente SCP de ejemplo permite a los usuarios compartir recursos *solo* una organización `o-12345abcdef,`, una unidad organizativa `ou-98765fedcba`, y una Cuenta de AWS `111111111111`.
Si utiliza un elemento `"Effect": "Deny"` con un operador de condición negada, como `StringNotEqualsIfExists`, la solicitud se seguirá denegando aunque la clave de condición no se encuentre presente. Utilice un operador de condición `Null` para comprobar si una clave de condición está ausente en el momento de la autorización.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la llamada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Ejemplo 6: Impedir que se compartan recursos si está activado RetainSharingOnAccountLeaveOrganization
El siguiente SCP impide que los usuarios creen o modifiquen recursos compartidos cuando la clave de `ram:RetainSharingOnAccountLeaveOrganization` condición está establecida en. `true`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# Deshabilitar el uso compartido de recursos con AWS Organizations
Si anteriormente habilitaste el uso compartido con toda tu organización o unidades organizativas () AWS Organizations y ya no necesitas compartir recursos con toda tu organización o unidades organizativas (OUs), puedes inhabilitar el uso compartido. Si inhabilitas el uso compartido con AWS Organizations todas las organizaciones o se OUs eliminan de los recursos compartidos que has creado, estas pierden el acceso a los recursos compartidos. Las cuentas externas (las cuentas agregadas al recurso compartido mediante invitación) no se verán afectadas y seguirán asociadas al recurso compartido.
**Para deshabilitar el uso compartido con AWS Organizations**
1. Deshabilite el acceso de confianza para AWS Organizations utilizar el AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI comando.
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**importante**
Al deshabilitar el acceso de confianza a AWS Organizations, los directores de sus organizaciones se eliminan de todos los recursos compartidos y pierden el acceso a esos recursos compartidos.
1. Utilice la consola de IAM o las operaciones de la AWS CLI API de IAM para eliminar la función vinculada al **AWSServiceRoleForResourceAccessManager**servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
# Registro y monitorización en AWS RAM
La supervisión es un aspecto importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de AWS RAM y sus soluciones de AWS. Debe recopilar datos de monitorización de todas las partes de su solución de AWS para poder depurar más fácilmente un error multipunto si se produce. AWS proporciona varias herramientas para monitorizar sus recursos de AWS RAM y responder a posibles incidentes:
**Amazon EventBridge**
Proporciona un flujo de eventos del sistema prácticamente en tiempo real que describen los cambios en los recursos de AWS. EventBridge habilita la computación basada en eventos automatizada, para que pueda escribir reglas que vigilan determinados eventos y desencadenan acciones automatizadas en otros servicios de AWS cuando estos eventos se producen. Para obtener más información, consulte [Monitorización AWS RAM mediante EventBridge](using-eventbridge.md).
**AWS CloudTrail**
Captura las llamadas a la API y otros eventos relacionados que realiza la Cuenta de AWS o que se realizan en nombre de esta. Además, entrega los archivos de registro a un bucket de Amazon S3 especificado. También pueden identificar qué usuarios y cuentas han llamado a AWS, la dirección IP de origen de las llamadas y el momento en que se hicieron dichas llamadas. Para obtener más información, consulte [Registrar llamadas a la AWS RAM API con AWS CloudTrail](cloudtrail-logging.md).
# Monitorización AWS RAM mediante EventBridge
Con Amazon EventBridge, puedes configurar notificaciones automáticas para eventos específicos en AWS RAM. Los eventos de AWS RAM se envían casi EventBridge en tiempo real. Puede configurarlo EventBridge para supervisar los eventos e invocar los objetivos en respuesta a los eventos que indiquen cambios en sus recursos compartidos. Los cambios en un recurso compartido activan eventos tanto para el propietario del recurso compartido como para las entidades principales a las que se ha concedido acceso al recurso compartido.
Cuando se crea un patrón de eventos, el origen es `aws.ram`.
**nota**
Tenga cuidado al escribir código que depende de tales eventos. Los eventos no están garantizados, sino que se emiten en la medida de lo posible. Si se produce un error al AWS RAM intentar emitir un evento, el servicio lo intentará varias veces más. Sin embargo, puede agotarse el tiempo de espera y provocar la pérdida de ese evento en concreto.
Para obtener más información, consulta la Guía del EventBridge usuario de Amazon.
## Ejemplo: Alertar de errores en un recurso compartido
Imagine una situación en la que desea compartir reservas de capacidad de Amazon EC2 con otras cuentas de su organización. Esta sería una buena forma de reducir costos.
Sin embargo, si no cumple todos los [requisitos previos para compartir una reserva de capacidad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#sharing-cr-prereq), es posible que se produzca un fallo silencioso a la hora de realizar las tareas asíncronas que implica compartir los recursos. Si la operación de compartir falla y los usuarios de otras cuentas intentan lanzar instancias con una de esas reservas de capacidad, Amazon EC2 actúa como si la reserva de capacidad estuviera llena y, en su lugar, lanza la instancia como una instancia bajo demanda. Esto se puede traducir en costos mayores de lo esperado.
Para supervisar los errores en el uso compartido de recursos, configura una EventBridge regla de Amazon que te avise cada vez que se produzca un error en un AWS RAM recurso compartido. El siguiente procedimiento de tutorial utiliza un tema del Amazon Simple Notification Service (SNS) para notificar a todos los suscriptores del tema cada vez que se EventBridge descubre un error al compartir recursos. Para obtener más información sobre Amazon SNS, consulte la [Guía para desarrolladores de Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
**Para crear una regla que le notifique cuando se produzca un error al compartir recursos**
1. Abre la [ EventBridge consola de Amazon](https://console.aws.amazon.com/events).
1. En el panel de navegación, elija **Reglas** y, a continuación, en la lista **Reglas**, elija **Crear regla**.
1. Ingrese un nombre y una descripción opcional para la regla y, a continuación, elija **Siguiente**.
1. Desplácese hacia abajo, hasta el cuadro **Patrón de eventos**, y elija **Patrones personalizados (editor JSON).**
1. Copie y pegue el siguiente patrón de eventos:
```
{
"source": ["aws.ram"],
"detail-type": ["Resource Sharing State Change"],
"detail": {
"event": ["Resource Share Association"],
"status": ["failed"]
}
}
```
1. Elija **Siguiente**.
1. Para **Destino 1**, en **Tipo de destino**, elija **Servicio de AWS**.
1. En **Seleccione un destino**, elija **Tema de SNS**.
1. En **Tema**, elija el tema de SNS en el que desea publicar la notificación. Debe tratarse de un tema ya existente.
1. Elija **Siguiente** y, a continuación, otra vez **Siguiente** para revisar la configuración.
1. Cuando esté satisfecho con las opciones, elija **Crear regla**.
1. Al volver a la página **Reglas**, asegúrese de que la nueva regla esté marcada como **Habilitada**. Si es necesario, seleccione el botón de opción situado junto al nombre de la regla y, a continuación, elija **Habilitar**.
Mientras esa regla esté habilitada, cualquier AWS RAM recurso compartido que falle generará una alerta de SNS para los destinatarios del tema en el que publicaste.
También puede confirmar que las cuentas con las que ha compartido pueden acceder a las reservas de capacidad compartida. Para hacerlo, intente [verlas en la consola de Amazon EC2 desde dichas cuentas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#identifying-shared-cr).
# Registrar llamadas a la AWS RAM API con AWS CloudTrail
AWS RAM está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en AWS RAM. CloudTrail captura todas las llamadas a la API AWS RAM como eventos. Las llamadas capturadas incluyen llamadas desde la AWS RAM consola y llamadas en código a las operaciones de la AWS RAM API. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3 que especifique, incluidos los eventos para ellos AWS RAM. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial de eventos**. Usa la información recopilada por CloudTrail para determinar la solicitud que se realizó AWS RAM, la dirección IP solicitante, el solicitante, cuándo se realizó y detalles adicionales.
Para obtener más información al respecto CloudTrail, consulte la [Guía del AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS RAM información en CloudTrail
CloudTrail está habilitada en tu cuenta Cuenta de AWS al crear la cuenta. Cuando se produce una actividad en AWS RAM, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial de eventos**. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para mantener un registro continuo de eventos en la Cuenta de AWS, incluidos los eventos de AWS RAM, cree un registro de seguimiento. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando crea una ruta en la consola, la ruta se aplica a todas AWS las regiones. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3 especificado. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte los siguientes temas:
+ [Creando una ruta para tu Cuenta de AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Servicio de AWS integraciones con registros CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas AWS RAM las acciones se registran CloudTrail y se documentan en la [Referencia de la AWS RAM API](https://docs.aws.amazon.com/ram/latest/APIReference/). Por ejemplo, las llamadas a las acciones `CreateResourceShare`, `AssociateResourceShare`, y`EnableSharingWithAwsOrganization` generan entradas en los archivos de registro de CloudTrail.
Cada entrada de registro o evento contiene información que ayuda a determinar quién generó la solicitud.
+ Cuenta de AWS credenciales raíz
+ Credenciales de seguridad temporales de un rol AWS Identity and Access Management (IAM) o un usuario federado.
+ Credenciales de seguridad a largo plazo de un usuario de IAM.
+ Otro servicio AWS .
Para obtener más información, consulte el [elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Descripción de las entradas de los archivos de AWS RAM registro
Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro para la `CreateResourceShare` acción.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "NOPIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/admin",
"accountId": "111122223333",
"accessKeyId": "BCDIOSFODNN7EXAMPLE",
"userName": "admin"
},
"eventTime": "2018-11-03T04:23:19Z",
"eventSource": "ram.amazonaws.com",
"eventName": "CreateResourceShare",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.1.0",
"userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
"requestParameters": {
"name": "foo"
},
"responseElements": {
"resourceShare": {
"allowExternalPrincipals": true,
"name": "foo",
"owningAccountId": "111122223333",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
"status": "ACTIVE"
}
},
"requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
"eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Validación de conformidad para AWS Resource Access Manager
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia en AWS Resource Access Manager
La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
[Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Seguridad de la infraestructura en AWS Resource Access Manager
Como servicio gestionado, AWS Resource Access Manager está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a AWS RAM través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
# Acceso AWS Resource Access Manager mediante un punto final de interfaz (AWS PrivateLink)
Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y. AWS Resource Access Manager Puede acceder AWS RAM como si estuviera en su VPC, sin el uso de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o Direct Connect una conexión. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a AWS RAM.
Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a AWS RAM.
Para obtener más información, consulte [Acceso a los Servicios de AWS a través de AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) en la *Guía de AWS PrivateLink *.
## Consideraciones sobre AWS RAM
Antes de configurar un punto final de interfaz para AWS RAM, consulte [las consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) de la *AWS PrivateLink guía*.
AWS RAM permite realizar llamadas a todas sus acciones de API a través del punto final de la interfaz.
Se admiten las políticas de puntos finales de VPC. AWS RAM De forma predeterminada, se concede acceso completo a AWS RAM a través del punto de conexión de interfaz.
## Cree un punto final de interfaz para AWS RAM
Puede crear un punto final de interfaz para AWS RAM usar la consola de Amazon VPC o AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *.
Cree un punto final de interfaz para AWS RAM usar el siguiente nombre de servicio:
```
com.amazonaws.region.ram
```
Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes a la API para AWS RAM usando su nombre de DNS predeterminado para la región. Por ejemplo, `ram.us-east-1.amazonaws.com`.
## Creación de una política de puntos de conexión para el punto de conexión de interfaz
Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de punto final predeterminada permite el acceso total a AWS RAM través del punto final de la interfaz. Para controlar el acceso permitido AWS RAM desde su VPC, adjunte una política de punto final personalizada al punto final de la interfaz.
Una política de punto de conexión especifica la siguiente información:
+ Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).
+ Las acciones que se pueden realizar.
+ El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte [Control del acceso a los servicios con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de AWS PrivateLink *.
**Ejemplo: política de puntos finales de VPC para acciones AWS RAM**
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Al adjuntar esta política al punto final de la interfaz, se concede acceso a las AWS RAM acciones enumeradas a todos los principales de todos los recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ram:CreateResourceShare"
],
"Resource": "*"
}
]
}
```
------