• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Seguridad en AWS Systems Manager
La seguridad en la nube en Amazon Web Services es la máxima prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y un centro de datos que están diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.
La seguridad es una responsabilidad compartida entre AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) aborda tanto la seguridad *de* la nube como la seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta Servicios de AWS en Nube de AWS. Además, AWS proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener información sobre los programas de conformidad que se aplican a AWS Systems Manager, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el Servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida a la hora de utilizar AWS Systems Manager. Los siguientes temas le mostrarán cómo configurar Systems Manager para satisfacer sus objetivos de seguridad y de conformidad. También aprenderá a utilizar otros Servicios de AWS que le ayudarán a supervisar y a proteger los recursos de Systems Manager.
**Topics**
+ [Protección de los datos en AWS Systems Manager](data-protection.md)
+ [Perímetros de datos en AWS Systems Manager](data-perimeters.md)
+ [Administración de identidades y accesos en AWS Systems Manager](security-iam.md)
+ [Cómo utilizar roles vinculados a servicios de Systems Manager](using-service-linked-roles.md)
+ [Registro y monitorización en AWS Systems Manager](logging-and-monitoring.md)
+ [Validación de conformidad en AWS Systems Manager](compliance-validation.md)
+ [Resiliencia en AWS Systems Manager](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en AWS Systems Manager](infrastructure-security.md)
+ [Configuración y análisis de vulnerabilidades en AWS Systems Manager](vulnerability-analysis-and-management.md)
+ [Prácticas recomendadas de seguridad para Systems Manager](security-best-practices.md)
# Protección de los datos en AWS Systems Manager
La protección de datos consiste en proteger los datos mientras están *en tránsito* (cuando viajan a Systems Manager y desde este) y *en reposo* (mientras están almacenados en centros de datos de AWS).
El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/), y de AWS se aplica a la protección de datos de AWS Systems Manager. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye las situaciones en las que debe trabajar con la Systems Manager u otros Servicios de AWS a través de la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
## Cifrado de datos
### Cifrado en reposo
**Parámetros Parameter Store**
Los tipos de parámetros que puede crear en Parameter Store, una herramienta de AWS Systems Manager, incluyen `String`, `StringList` y `SecureString`.
Todos los parámetros, independientemente de su tipo, se cifran en tránsito y en reposo. En tránsito, los parámetros se cifran mediante la seguridad de la capa de transporte (TLS) para crear una conexión HTTPS segura para las solicitudes de API. En reposo, se cifran con una Clave propiedad de AWS en AWS Key Management Service (AWS KMS). Para obtener más información sobre Clave propiedad de AWS el cifrado, consulte [Claves propiedad de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) en la *AWS Key Management Service Guía para desarrolladores*.
El tipo `SecureString` ofrece opciones de cifrado adicionales y se recomienda para todos los datos confidenciales. Puede elegir entre los siguientes tipos de claves AWS KMS para cifrar y descifrar el valor de un parámetro `SecureString`:
+ La Clave administrada de AWS de su cuenta
+ Una clave administrada por el cliente (CMK) que ha creado en su cuenta
+ Una CMK en otra Cuenta de AWS que se ha compartido con usted
Para obtener más información sobre AWS KMS el cifrado, consulte [AWS Key Management Service Guía para desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/).
**Contenido en buckets de S3**
En las operaciones de Systems Manager, puede elegir cargar o almacenar datos en uno o más buckets de Amazon Simple Storage Service (Amazon S3).
Para obtener información acerca del cifrado de buckets de S3, consulte [Protecting data using encryption](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) y [Protección de datos en Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) en la *Guía del usuario para Amazon Simple Storage Service*.
A continuación se indican los tipos de datos que puede cargar o almacenar en buckets de S3 en las actividades de Systems Manager:
+ La salida de los comandos en Run Command, una herramienta de AWS Systems Manager
+ Paquetes en Distributor, una herramienta de AWS Systems Manager
+ Registros de operaciones de revisiones en Patch Manager, una herramienta de AWS Systems Manager
+ listas de anulación de revisiones de Patch Manager
+ Scripts o manuales de estrategias de Ansible para ejecutarlos en el flujo de trabajo de un manual de procedimientos de Automatización, una herramienta de AWS Systems Manager
+ Perfiles de Chef InSpec para su uso con análisis de Cumplimiento, una herramienta de AWS Systems Manager
+ Registros de AWS CloudTrail
+ Registros de historial de sesiones en Session Manager, una herramienta de AWS Systems Manager
+ Informes de Explorer, una herramienta de AWS Systems Manager
+ OpsData de OpsCenter, una herramienta de AWS Systems Manager
+ AWS CloudFormation plantillas para usar con flujos de trabajo de Automation
+ datos de conformidad de análisis de sincronización de datos de recursos
+ Resultado de solicitudes para crear o editar una asociación en State Manager, una herramienta de AWS Systems Manager, en nodos administrados
+ Documentos personalizados de Systems Manager (documentos de SSM) que puede ejecutar con el documento de SSM administrado de AWS `AWS-RunDocument`
**Grupos de registros de CloudWatch Logs**
En las operaciones de Systems Manager, puede elegir transmitir datos a uno o más grupos de registros de Amazon CloudWatch.
Para obtener información acerca del cifrado de un grupo de registros de los Registros de CloudWatch, consulte [Cifrado de datos de registro en CloudWatch Logs mediante AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) en la *Guía del usuario de los Registros de Amazon CloudWatch*.
Los siguientes son los tipos de datos que puede haber transmitido a un grupo de registros de CloudWatch Logs en sus actividades de Systems Manager:
+ Resultado de los comandos de Run Command
+ resultado de los scripts que se ejecutan mediante la acción `aws:executeScript` de un manual de procedimientos de automatización
+ Registros del historial de sesiones de Session Manager
+ Registros de SSM Agent en los nodos administrados
### Cifrado en tránsito
Recomendamos utilizar un protocolo de cifrado como Transport Layer Security (TLS) para cifrar la información confidencial en tránsito entre los clientes y los nodos.
Systems Manager proporciona la siguiente compatibilidad para el cifrado de los datos en tránsito.
**Conexiones a los puntos de enlace de API de Systems Manager**
Los puntos de enlace de API de Systems Manager solo admiten conexiones seguras a través de HTTPS. Cuando administra recursos de Systems Manager con la Consola de administración de AWS, el AWS SDK o la API de Systems Manager, todas las comunicaciones se cifran con Transport Layer Security (TLS). Para obtener una lista completa de puntos de conexión de la API, consulte los [Puntos de conexión de Servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) en la *Referencia general de Amazon Web Services*.
**Instancias administradas**
AWS proporciona conectividad segura y privada entre instancias de Amazon Elastic Compute Cloud (Amazon EC2). Además, ciframos automáticamente el tráfico en tránsito entre instancias admitidas en la misma nube virtual privada (VPC) o en VPC interconectadas, mediante algoritmos AEAD con cifrado de 256 bits. Esta característica de cifrado utiliza las capacidades de descarga del hardware subyacente y no afecta al rendimiento de red. Las instancias soportadas son: c5n, G4, I3en, M5dn, M5n, P3dn, R5dn y R5n.
**Sesiones de Session Manager**
De forma predeterminada, Session Manager utiliza TLS 1.3 para cifrar los datos de sesión transmitidos entre las máquinas locales de los usuarios de la cuenta y las instancias EC2. También puede optar por cifrar aún más los datos en tránsito mediante una AWS KMS key que se ha creado en AWS KMS. El cifrado AWS KMS está disponible para tipos de sesiones `Standard_Stream`, `InteractiveCommands` y `NonInteractiveCommands`.
**Acceso a Run Command**
De forma predeterminada, el acceso remoto a los nodos mediante Run Command se cifra con TLS 1.3 y las solicitudes para crear una conexión se firman con SigV4.
## Privacidad del tráfico entre redes
Puede utilizar Amazon Virtual Private Cloud (Amazon VPC) para crear límites entre los recursos en los nodos administrados y controlar el tráfico entre ellos, la red local e Internet. Para obtener detalles, consulte [Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager](setup-create-vpc.md).
Para obtener más información sobre la seguridad de Amazon Virtual Private Cloud, consulte [Internetwork traffic privacy in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) en la *Guía del usuario de Amazon VPC*.
# Perímetros de datos en AWS Systems Manager
Un perímetro de datos es un conjunto de barreras de protección en su entorno de AWS que ayuda a garantizar que solo sus identidades de confianza accedan a los datos desde las redes y los recursos esperados. Al implementar controles del perímetro de datos, es posible que deba incluir excepciones para los recursos propiedad del servicio de AWS a los que accede Systems Manager en su nombre.
**Ejemplo de escenario: Bucket S3 de las categorías de documentos de SSM**
Systems Manager accede a un bucket S3 administrado por AWS para recuperar la información de las categorías de documentos para [Documentos de AWS Systems Manager](documents.md). Este bucket contiene metadatos sobre las categorías de documentos que ayudan a organizar y clasificar los documentos de SSM en la consola.
Patrón de ARN de recursos
`arn:aws:s3:::ssm-document-categories-region`
Ejemplos regionales:
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`
Cuándo se accede al recurso
Se accede a este recurso cuando consulta los documentos de SSM en la consola de Systems Manager o cuando utiliza las API que recuperan los metadatos y las categorías de los documentos.
Qué datos se almacenan
El bucket contiene archivos JSON con definiciones de categorías de documentos y metadatos. Estos datos son de solo lectura y no contienen información específica del cliente.
Qué identidad se utiliza
Systems Manager accede a este recurso mediante las credenciales del servicio de AWS en nombre de sus solicitudes.
Permisos necesarios
`s3:GetObject` en el contenido del bucket.
**Consideraciones de la política de perímetro de datos**
Al implementar controles de perímetro de datos mediante políticas de control de servicio (SCP) o políticas de puntos de conexión de VPC con condiciones como `aws:ResourceOrgID`, por ejemplo, debe crear excepciones para los recursos propiedad del servicio de AWS que requiere Systems Manager.
Por ejemplo, si utiliza un SCP con `aws:ResourceOrgID` para restringir el acceso a recursos externos a su organización, deberá añadir una excepción para el bucket de categorías de documentos de SSM.
Esta política necesita acceder a recursos externos a su organización, pero incluye una excepción para los buckets de S3 correspondientes, lo que permite que Systems Manager siga funcionando correctamente.
Del mismo modo, si utiliza políticas de puntos de conexión de VPC para restringir el acceso a S3, deberá asegurarse de que los buckets de categorías de documentos de SSM se puedan acceder a través de sus puntos de conexión de VPC.
**Más información**
Para obtener más información acerca de los perímetros de datos en AWS, consulte los siguientes temas:
+ [Data perimeters on AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/).
+ [Establecimiento de barreras de protección de permisos mediante perímetros de datos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html) *en la Guía del usuario de IAM*
+ [Service-specific guidance: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) y [Service-owned resources](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md) en el repositorio *AWS Samples* en GitHub
# Administración de identidades y accesos en AWS Systems Manager
AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién está *autenticado* (ha iniciado sesión) y *autorizado* (tiene permisos) para utilizar recursos de Systems Manager. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona AWS Systems Manager con IAM](security_iam_service-with-iam.md)
+ [AWS Systems Manager ejemplos de políticas basadas en identidad de](security_iam_id-based-policy-examples.md)
+ [Políticas administradas de AWS para AWS Systems Manager](security-iam-awsmanpol.md)
+ [Solución de problemas de identidades de AWS Systems Manager y accesos](security_iam_troubleshoot.md)
## Público
La forma de utilizar AWS Identity and Access Management (IAM) varía en función del rol:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidades de AWS Systems Manager y accesos](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona AWS Systems Manager con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [AWS Systems Manager ejemplos de políticas basadas en identidad de](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Debe autenticarse como el Usuario raíz de la cuenta de AWS, como un usuario de IAM o asumiendo un rol de IAM.
Se puede iniciar sesión como una identidad federada con las credenciales de un origen de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales de Google/Facebook. Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*.
Para el acceso mediante programación, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Usuario raíz de la Cuenta de AWS
Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario raíz* de la Cuenta de AWS que tiene acceso completo a todos los Servicios de AWS y recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir que los usuarios humanos utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la *Guía del usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Se puede asumir un rol [cambiando de un usuario a un rol de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una operación de la API de la AWS CLI o AWS. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
Para controlar el acceso en AWS, se crean políticas y se adjuntan a identidades o recursos de AWS. Una política define los permisos cuando se asocia a una identidad o un recurso. AWS evalúa estas políticas cuando una entidad principal realiza una solicitud. La mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
Para obtener información acerca de las políticas administradas de AWS para Systems Manager, consulte [AWS Systems ManagerPolíticas gestionadas por](security_iam_service-with-iam.md#managed-policies).
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No se pueden utilizar políticas de IAM administradas por AWS en una política basada en recursos.
### Claves de condición de políticas
Las acciones que los usuarios y los roles pueden llevar a cabo y los recursos con los que pueden efectuar esas acciones pueden restringirse aún más mediante *condiciones* específicas.
En documentos de políticas JSON, el elemento `Condition` (o bloque de `Condition`) permite especificar condiciones en las que entra en vigor una instrucción. El elemento `Condition` es opcional. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como `StringEquals` o `StringNotLike`, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de `Condition` en una instrucción o varias claves en un único elemento de `Condition`, AWS las evalúa mediante una operación `AND` lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición con una operación lógica `OR`. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedes conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para más información, consulte [Elementos de la política de IAM: variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para obtener más información, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
**importante**
Si utiliza Automatización de Systems Manager, le recomendamos que no utilice la clave de condición [aws:SourceIp](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) en sus políticas. El comportamiento de esta clave de condición depende de varios factores, como si se proporciona un rol de IAM para la ejecución del manual de Automatización y las acciones de Automatización utilizadas en el manual de procedimientos. Como resultado, la clave de condición puede producir un comportamiento inesperado. Por este motivo, le recomendamos que no la use.
Systems Manager admite varias claves de condición propias. Para obtener más información, consulte [Condition Keys for AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) en la *Referencia de autorizaciones de servicio*. Las acciones y los recursos con los que puede utilizar una clave de condición específica de Systems Manager se enumeran en [Resource types defined by AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) en la *Referencia de autorizaciones de servicio*.
Si su política debe depender del nombre de entidad principal de servicio propiedad del servicio de Systems Manager, le recomendamos que compruebe su existencia mediante la [clave de condición multivalor](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys) `aws:PrincipalServiceNamesList`, en lugar de la clave de condición `aws:PrincipalServiceName`. La clave de condición `aws:PrincipalServiceName` contiene solo una entrada de la lista de nombres de entidades principales de servicio y puede que no siempre sea el nombre de entidad principal de servicio esperado. En el siguiente bloque de `Condition` se muestra cómo comprobar la existencia de `ssm.amazonaws.com`.
```
{
"Condition": {
"ForAnyValue:StringEquals": {
"aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
}
}
}
```
Para ver ejemplos de políticas basadas en identidades de Systems Manager, consulte [AWS Systems Manager ejemplos de políticas basadas en identidad de](security_iam_id-based-policy-examples.md).
### Listas de control de acceso (ACL)
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten las ACL. Para obtener más información sobre las ACL, consulta [Información general de Lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer el máximo de permisos concedidos por los tipos de políticas más frecuentes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCP):** especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations*.
+ **Políticas de control de recursos (RCP):** definen los permisos máximos disponibles para los recursos de las cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del usuario de AWS Organizations*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para obtener información acerca de cómo AWS decide si permitir o no una solicitud cuando hay varios tipos de políticas implicados, consulte [Lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona AWS Systems Manager con IAM
Antes de utilizar AWS Identity and Access Management (IAM) para administrar el acceso a AWS Systems Manager, debe comprender qué características de IAM están disponibles para su uso con Systems Manager. Para obtener una perspectiva general sobre cómo funcionan Systems Manager y otros Servicios de AWS con IAM, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Systems ManagerPolíticas de basadas en identidades](#security_iam_service-with-iam-id-based-policies)
+ [Systems ManagerPolíticas de basadas en recursos](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas de Systems Manager](#security_iam_service-with-iam-tags)
+ [Systems ManagerRoles de IAM de](#security_iam_service-with-iam-roles)
## Systems ManagerPolíticas de basadas en identidades
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados y las condiciones en las que se permiten o deniegan las acciones. Systems Manager admite acciones, claves de condiciones y recursos específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de políticas de Systems Manager utilizan el siguiente prefijo antes de la acción: `ssm:`. Por ejemplo, para conceder a alguien permiso para crear un parámetro de Systems Manager (parámetro de SSM) con la operación de la API de Systems Manager `PutParameter`, incluya la acción `ssm:PutParameter` en su política. Las instrucciones de política deben incluir un elemento `Action` o `NotAction`. Systems Manager define su propio conjunto de acciones, que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"ssm:action1",
"ssm:action2"
]
```
**nota**
Las siguientes herramientas de AWS Systems Manager utilizan diferentes prefijos antes de las acciones.
AWS AppConfig usa el prefijo `appconfig:` antes de las acciones.
Administrador de incidentes usa el prefijo `ssm-incidents:` o `ssm-contacts:` antes de las acciones.
La GUI Connect de Systems Manager usa el prefijo `ssm-guiconnect:` antes de las acciones.
Quick Setup usa el prefijo `ssm-quicksetup:` antes de las acciones.
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "ssm:Describe*"
```
Para ver una lista de las acciones de Systems Manager, consulte [Acciones definidas por AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.
### Recursos
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Por ejemplo, el recurso de periodo de mantenimiento de Systems Manager tiene el siguiente formato de ARN.
```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```
Para especificar los periodos de mantenimiento de mw-0c50858d01EXAMPLE en la instrucción en la región Este de EE. UU. (Ohio), debería utilizar un ARN similar al siguiente.
```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```
Para especificar todos los periodos de mantenimiento que pertenecen a una cuenta específica, utilice el comodín (\$1).
```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```
Para las operaciones de la API `Parameter Store`, puede proporcionar o restringir el acceso a todos los parámetros en un nivel de una jerarquía utilizando nombres jerárquicos y políticas de AWS Identity and Access Management (IAM) tal como se indica a continuación.
```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```
Algunas acciones de Systems Manager, como las empleadas para la creación de recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Algunas operaciones de la API de Systems Manager aceptan varios recursos. Para especificar varios recursos en una única instrucción, separe sus ARN con comas, tal y como se indica a continuación.
```
"Resource": [
"resource1",
"resource2"
```
**nota**
La mayoría de los Servicios de AWS tratan el carácter de dos puntos (:) o la barra inclinada (/) como el mismo carácter en los ARN. Sin embargo, Systems Manager requiere una coincidencia exacta en las reglas y los patrones de los recursos. Al crear patrones de eventos, asegúrese de utilizar los caracteres de ARN correctos para que coincidan con el ARN del recurso.
En la siguiente tabla se describen los formatos de ARN para los tipos de recursos admitidos por Systems Manager.
**nota**
Tenga en cuenta las siguientes excepciones a los formatos ARN.
Las siguientes herramientas de AWS Systems Manager utilizan diferentes prefijos antes de las acciones.
AWS AppConfig usa el prefijo `appconfig:` antes de las acciones.
Administrador de incidentes usa el prefijo `ssm-incidents:` o `ssm-contacts:` antes de las acciones.
La GUI Connect de Systems Manager usa el prefijo `ssm-guiconnect` antes de las acciones.
Los documentos y los recursos de definición de automatización que son propiedad de Amazon, así como los parámetros públicos que proporcionan tanto Amazon como fuentes de terceros, no incluyen los ID de cuenta en sus formatos ARN. Por ejemplo:
Uso de documentos `AWS-RunPatchBaseline` de SSM:
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline`
Manual de procedimientos de automatización `AWS-ConfigureMaintenanceWindows`:
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
Parámetros públicos `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
Para obtener más información sobre estas características, consulte los siguientes temas:
[Trabajo con documentos](documents-using.md)
[Ejecución de una operación automatizada con la tecnología de automatización de Systems Manager](running-simple-automations.md)
[Trabajo con parámetros públicos en Parameter Store](parameter-store-public-parameters.md)
Quick Setup usa el prefijo `ssm-quicksetup:` antes de las acciones.
| Tipo de recurso | Formato de ARN |
| --- | --- |
| Aplicación (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id |
| Asociación | arn:aws:ssm:region:account-id:association/association-id |
| Ejecución de automatización | arn:aws:ssm:región:id-cuenta:automation-execution/id-ejecución-automatización |
| Definición de automatización (con subrecurso de versión) | arn:aws:ssm:*region*:*account-id*:automation-definition/*automation-definition-id*:*version-id* **1** |
| Perfil de configuración (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/configurationprofile/configurationprofile-id |
| Contacto (Incident Manager) | arn:aws:ssm-contacts:*region*:*account-id*:contact/*contact-alias* |
| Estrategia de implementación (AWS AppConfig) | arn:aws:appconfig:region:account-id:deploymentstrategy/deploymentstrategy-id |
| Documento | arn:aws:ssm:*región*:*id-cuenta*:document/*nombre-documento* |
| Entorno (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/environment/environment-id |
| Incidente | arn:aws:ssm-incidents:*region*:*account-id*:incident-record/*response-plan-name*/*incident-id* |
| período de mantenimiento | arn:aws:ssm:*region*:*account-id*:maintenancewindow/*window-id* |
| Nodo administrado | arn:aws:ssm:*region*:*account-id*:managed-instance/*managed-node-id* |
| Inventario de nodos administrados | arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id |
| OpsItem | arn:aws:ssm:region:account-id:opsitem/OpsItem-id |
| Parámetro | Parámetros de un nivel: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/security_iam_service-with-iam.html) Un parámetro denominado con una construcción jerárquica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/security_iam_service-with-iam.html) |
| línea de base de revisiones | arn:aws:ssm:*región*:*id-cuenta*:patchbaseline/*id-base-referencia-revisiones* |
| Plan de respuesta | arn:aws:ssm-incidents:*region*:*account-id*:response-plan/*response-plan-name* |
| Session | arn:aws:ssm:*region*:*account-id*:session/*session-id* **3** |
| Todos los recursos de Systems Manager | arn:aws:ssm:\$1 |
| Todos los recursos de Systems Manager que pertenecen a la Cuenta de AWS especificada en la Región de AWS indicada | arn:aws:ssm:*región*:*id-cuenta*:\$1 |
**nota**
Los recursos de definición de Automatización están en desuso. Actualice sus políticas de IAM para incluir una autorización para `ssm:StartAutomationExecution` o `ssm:StartChangeRequestExecution` en recursos `document` y `automation-execution`. Para ver las prácticas recomendadas y ejemplos sobre cómo configurar los permisos de IAM, consulte nuestra guía de usuario [Ejemplo de configuración de políticas basadas en identidad](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html).
**1** Para las definiciones de automatización, Systems Manager admite un recurso de segundo nivel, el *ID de versión*. En AWS, estos recursos de segundo nivel se denominan *subrecursos*. Si especifica un subrecurso de versión para un recurso de definición de automatización, le permite proporcionar acceso a determinadas versiones de una definición de automatización. Por ejemplo, es posible que desee garantizar que solo la versión más reciente de una definición de automatización se utilice en su administración de nodos.
**2** Para organizar y administrar parámetros, puede crear nombres para parámetros con una estructura jerárquica. Con dicha estructura, un nombre de parámetro puede incluir una ruta que se define con barras inclinadas. Puede dar un nombre a un recurso de parámetro con un máximo de quince niveles. Le recomendamos que cree jerarquías que reflejen una estructura jerárquica existente en su entorno. Para obtener más información, consulte [Creación de parámetros de Parameter Store en Systems Manager](sysman-paramstore-su-create.md).
**3** En la mayoría de los casos, el ID de sesión se construye con el ID del usuario de la cuenta que inició la sesión, además de un sufijo alfanumérico. Por ejemplo:
```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```
Sin embargo, si el ID de usuario no está disponible, el ARN se construye de esta manera:
```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```
Para obtener más información acerca del formato de los ARN, consulte [Nombres de recursos de Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la *Referencia general de Amazon Web Services*.
Para ver una lista de los tipos de recursos de Systems Manager y sus ARN, consulte [Recursos definidos por AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
### Claves de condición de Systems Manager
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de las claves de condición de Systems Manager, consulte [Claves de condición para AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) en la *Referencia de autorizaciones de servicio*. Para obtener más información sobre las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).
Para obtener información sobre el uso de la clave de condición `ssm:resourceTag/*`, consulte los temas siguientes:
+ [Restricción del acceso a los comandos de nivel raíz con SSM Agent](ssm-agent-restrict-root-level-commands.md)
+ [Restricción de acceso de Run Command basado en etiquetas](run-command-setting-up.md#tag-based-access)
+ [Restringir el acceso de sesión en función de las etiquetas de instancia](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)
Para obtener información sobre el uso de las claves de condición `ssm:Recursive`, `ssm:Policies` y `ssm:Overwrite`, consulte [Impedir el acceso a las operaciones de la API de Parameter Store](parameter-store-policy-conditions.md).
### Ejemplos
Para ver ejemplos de políticas de Systems Manager basadas en identidades, consulte [AWS Systems Manager ejemplos de políticas basadas en identidad de](security_iam_id-based-policy-examples.md).
## Systems ManagerPolíticas de basadas en recursos
Otros Servicios de AWS, como Amazon Simple Storage Service (Amazon S3), admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política de permisos a un bucket de S3 para administrar los permisos de acceso a dicho bucket.
Systems Manager no admite políticas basadas en recursos.
## Autorización basada en etiquetas de Systems Manager
Puede asociar etiquetas a los recursos de Systems Manager o transferirlas en una solicitud a Systems Manager. Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política mediante las claves de condición `ssm:resourceTag/key-name`, `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Puede agregar etiquetas a los siguientes tipos de recursos al crearlos o actualizarlos:
+ Documento
+ Nodo administrado
+ período de mantenimiento
+ Parámetro
+ línea de base de revisiones
+ OpsItem
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Visualización de documentos de Systems Manager basados en etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags).
## Systems ManagerRoles de IAM de
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de la Cuenta de AWS que dispone de permisos específicos.
### Uso de credenciales temporales con Systems Manager
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS Security Token Service (AWS STS), como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Systems Manager admite el uso de credenciales temporales.
### Roles vinculados a servicios
Los [roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a los Servicios de AWS obtener acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios están listados en la cuenta de IAM y son propiedad del servicio. Un administrador puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Systems Manager admite roles vinculados a servicios. Para obtener más información sobre cómo crear o administrar roles vinculados al servicio de Systems Manager, consulte [Cómo utilizar roles vinculados a servicios de Systems Manager](using-service-linked-roles.md).
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Las funciones del servicio se muestran en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Systems Manager admite roles de servicio.
### Elección de un rol de IAM en Systems Manager
Para que Systems Manager interactúe con los nodos administrados, debe elegir un rol que permita a Systems Manager acceder a los nodos en su nombre. Si ha creado previamente un rol de servicio o un rol vinculado a servicios, Systems Manager le proporciona una lista de roles para elegir. Es importante seleccionar un rol que le permita el acceso para iniciar y detener nodos administrados.
Para acceder a las instancias de EC2, debe configurar los permisos de instancia. Para obtener información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md).
Para acceder a los nodos que no son de EC2 en una nube [híbrida y multinube](operating-systems-and-machine-types.md#supported-machine-types), el rol que su Cuenta de AWS necesita es un rol de servicio de IAM. Para obtener información, consulte [Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube](hybrid-multicloud-service-role.md).
Un flujo de trabajo de Automation se puede iniciar en el contexto de un rol de servicio (o rol de asunción). Esto permite al servicio realizar acciones en su nombre. Si no especifica un rol de asunción, Automation utiliza el contexto del usuario que invocó la ejecución. Sin embargo, algunas situaciones requieren especificar un rol de servicio para Automation. Para obtener más información, consulte [Configuración del acceso de un rol de servicio (rol de asunción) para automatizaciones](automation-setup.md#automation-setup-configure-role).
### AWS Systems ManagerPolíticas gestionadas por
AWS aborda muchos casos de uso comunes dando políticas de IAM independientes creadas y administradas por AWS. Estas AWSpolíticas administradas* de * conceden los permisos necesarios para casos de uso común, lo que le evita tener que investigar qué permisos se necesitan. (También puede crear sus propias políticas de IAM personalizadas para conceder permisos a las acciones y recursos de Systems Manager).
Para obtener más información sobre las políticas administradas de Systems Manager, consulte [Políticas administradas de AWS para AWS Systems Manager](security-iam-awsmanpol.md)
Para obtener más información sobre las políticas administradas, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
# AWS Systems Manager ejemplos de políticas basadas en identidad de
De forma predeterminada, las entidades de AWS Identity and Access Management (IAM) (usuarios y roles) no tienen permiso para crear o modificar recursos de AWS Systems Manager. Tampoco se pueden realizar tareas con la consola de Systems Manager, la AWS Command Line Interface (AWS CLI), o la API de AWS. Un administrador debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos que necesiten esos permisos.
A continuación se muestra un ejemplo de una política de permisos que permite a un usuario eliminar documentos con nombres que comienzan con **MyDocument-** en la Región de AWS Este de EE. UU. (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"ssm:DeleteDocument"
],
"Resource" : [
"arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
]
}
]
}
```
------
Para obtener información acerca de cómo se crea una política basada en identidades de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) (Creación de políticas de IAM) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Ejemplo: permiso para usar la consola de Systems Manager](#security_iam_id-based-policy-examples-console)
+ [Ejemplo: permiso para que los usuarios vean sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Ejemplo: permiso para leer y describir parámetros individuales](#security_iam_id-based-policy-examples-view-one-parameter)
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md)
+ [Ejemplos de políticas administradas por el cliente](#customer-managed-policies)
+ [Visualización de documentos de Systems Manager basados en etiquetas](#security_iam_id-based-policy-examples-view-documents-tags)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Systems Manager de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience a utilizar las políticas administradas de AWS y avance hacia permisos de privilegios mínimos**. Para empezar a conceder permisos a los usuarios y cargas de trabajo, utilice las *políticas administradas de AWS* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su Cuenta de AWS. Se recomienda definir políticas administradas por el cliente de AWS específicas para sus casos de uso a fin de reducir aún más los permisos. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede usar condiciones para conceder acceso a acciones de servicios si se emplean a través de un Servicio de AWS determinado como, por ejemplo, CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Solicite la autenticación multifactor (MFA)**: si se encuentra en una situación en la que necesite usuarios raíz o de IAM en su Cuenta de AWS, active la MFA para obtener una mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Ejemplo: permiso para usar la consola de Systems Manager
Para acceder a la consola de Systems Manager, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle registrar y consultar los detalles acerca de los recursos de Systems Manager y otros recursos en su Cuenta de AWS.
Si crea una política basada en identidades que es más restrictiva que los permisos mínimos requeridos, la consola no funcionará según lo previsto para las entidades de IAM (usuarios o roles) con esa política.
No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
Para asegurarse de que los usuarios y los roles puedan seguir utilizando la consola de Systems Manager, asocie también la política administrada de AWS [AmazonSSMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) o [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
## Ejemplo: permiso para que los usuarios vean sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la API de AWS.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Ejemplo: permiso para leer y describir parámetros individuales
**Example Leer y describir un parámetro**
Puede conceder acceso a un secreto si adjunta la siguiente política a una identidad.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"ssm:DescribeParameters"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
}
]
}
```
# Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación entre servicios puede dar lugar al problema de la sustitución confusa. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.
Se recomienda utilizar las claves de contexto de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) en las políticas de recursos para limitar los permisos que AWS Systems Manager concede a otro servicio para el recurso. Si el valor de `aws:SourceArn` no contiene el ID de cuenta, como un nombre de recurso de Amazon (ARN) de bucket de S3, debe utilizar ambas claves de contexto de condición global para limitar los permisos. Si utiliza claves de contexto de condición global y el valor de `aws:SourceArn` contiene el ID de cuenta, el valor de `aws:SourceAccount` y la cuenta en el valor de `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utiliza en la misma instrucción de política. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios. Utiliza `aws:SourceAccount` si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.
En las siguientes secciones, se presentan ejemplos de políticas para herramientas de AWS Systems Manager.
## Ejemplo de política de activación híbrida
Para los roles de servicio utilizados en una [activación híbrida](activations.md), el valor de `aws:SourceArn` debe ser el ARN de la Cuenta de AWS. Asegúrese de especificar la Región de AWS en el ARN donde creó la activación híbrida. Si no conoce el ARN completo del recurso o si especifica varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:ssm:*:region:123456789012:*`.
En el siguiente ejemplo se muestra el uso de las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` para Automation para evitar el problema del suplente confuso en la región Este de EE. UU. (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## Ejemplo de política de sincronización de datos de recursos
Systems Manager Inventory, Explorer y Compliance le permiten crear una sincronización de datos de recursos para centralizar el almacenamiento de los datos de operaciones (OpsData) en un bucket central de Amazon Simple Storage Service. Si desea cifrar la sincronización de datos de recursos mediante AWS Key Management Service (AWS KMS), debe crear una clave nueva que incluya la siguiente política o actualizar una clave existente y agregarle esta política. Las claves de condición `aws:SourceArn` y `aws:SourceAccount` de esta política evitan el problema del suplente confuso. A continuación, se muestra un ejemplo de política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ssm-access-policy",
"Statement": [
{
"Sid": "ssm-access-policy-statement",
"Action": [
"kms:GenerateDataKey"
],
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
"Condition": {
"StringLike": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
}
}
}
]
}
```
------
**nota**
El ARN del ejemplo de política permite al sistema cifrar OpsData de todos los orígenes, excepto AWS Security Hub CSPM. Si necesita cifrar los datos de Security Hub CSPM, por ejemplo, si utiliza Explorer para recopilar datos de Security Hub CSPM, debe adjuntar una política adicional que especifique el siguiente ARN:
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"`
## Ejemplos de políticas administradas por el cliente
Puede crear políticas independientes que puede administrar en su propia Cuenta de AWS. Las denominamos *políticas administradas por el cliente*. Puede adjuntar estas políticas a varias entidades principales de su Cuenta de AWS. Al asociar una política a una entidad principal, concederá a la entidad los permisos que están definidos en la política. Para obtener más información, consulte [Customer managed policy examples](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) (Ejemplos de políticas administradas por el cliente) en la *[IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/) (Guía del usuario de IAM)*.
En los siguientes ejemplos de políticas de usuario, se concede permiso para diversas acciones de Systems Manager. Úselas para limitar el acceso a Systems Manager de sus entidades de IAM (usuarios y roles). Estas políticas funcionan cuando ejecuta acciones en la API de Systems Manager, los AWS SDK o la AWS CLI. En el caso de los usuarios que utilizan la consola, debe conceder permisos adicionales específicos a la consola. Para obtener más información, consulte [Ejemplo: permiso para usar la consola de Systems Manager](#security_iam_id-based-policy-examples-console).
**nota**
Todos los ejemplos utilizan la región EE. UU. Oeste (Oregón) (us-west-2) y contienen identificadores de cuenta ficticios. No debe especificarse el ID de cuenta en el nombre de recurso de Amazon (ARN) para documentos públicos de AWS (documentos que comienzan con `AWS-*`).
**Ejemplos**
+ [Ejemplo 1: permitir a un usuario realizar operaciones de Systems Manager en una única región](#identity-based-policies-example-1)
+ [Ejemplo 2: permitir a un usuario generar una lista de documentos de una única región](#identity-based-policies-example-2)
### Ejemplo 1: permitir a un usuario realizar operaciones de Systems Manager en una única región
En el siguiente ejemplo se conceden permisos para realizar operaciones de Systems Manager solo en la región Este de EE. UU. (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:*"
]
}
]
}
```
------
### Ejemplo 2: permitir a un usuario generar una lista de documentos de una única región
En el siguiente ejemplo se conceden permisos para enumerar todos los nombres de documentos que comienzan con **Update** en la región Este de EE. UU. (Ohio) (us-east-2).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:ListDocuments"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/Update*"
]
}
]
}
```
------
### Ejemplo 3: permitir a un usuario utilizar un documento de SSM concreto para ejecutar comandos en nodos específicos
El siguiente ejemplo de política de IAM permite a un usuario hacer lo siguiente en la región Este de EE. UU.(Ohio) (us-east-2):
+ Permite enumerar documentos de Systems Manager (documentos de SSM) y versiones de documentos.
+ Ver detalles sobre los documentos.
+ Enviar un comando utilizando el documento especificado en la política. El nombre del documento se determina con la siguiente entrada:
```
arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
```
+ Enviar un comando a tres nodos. Los nodos se determinan en función de las siguientes entradas de la segunda sección `Resource`.
```
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
```
+ Ver detalles sobre un comando después de que se haya enviado.
+ Permite comenzar y detener flujos de trabajo de Automatización, una herramienta de AWS Systems Manager.
+ Permite obtener información acerca de los flujos de trabajo de Automation.
Si desea otorgar un permiso a un usuario para usar este documento con el fin de enviar comandos en cualquier nodo al que el usuario tenga acceso, puede especificar una entrada similar a la siguiente en la sección `Resource` y eliminar las otras entradas de nodo. En el siguiente ejemplo se utiliza la región Este de EE. UU. (Ohio) (us-east-2).
```
"arn:aws:ec2:us-east-2:*:instance/*"
```
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions",
"ssm:DescribeDocument",
"ssm:GetDocument",
"ssm:DescribeInstanceInformation",
"ssm:DescribeDocumentParameters",
"ssm:DescribeInstanceProperties"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:SendCommand",
"Effect": "Allow",
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
"arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
"arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
]
},
{
"Action": [
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ec2:DescribeInstanceStatus",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Action": "ssm:DescribeAutomationExecutions",
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"ssm:StopAutomationExecution",
"ssm:GetAutomationExecution"
],
"Effect": "Allow",
"Resource": [
"*"
]
}
]
}
```
------
## Visualización de documentos de Systems Manager basados en etiquetas
Puede utilizar las condiciones de su política basada en identidad para controlar el acceso a los recursos de Systems Manager basados en etiquetas. En este ejemplo, se muestra cómo crear una política que permita visualizar un documento de SSM. Sin embargo, los permisos solo se conceden si la etiqueta de documento `Owner` tiene el valor del nombre de usuario de dicho usuario. Esta política también proporciona los permisos necesarios para llevar a cabo esta acción en la consola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListDocumentsInConsole",
"Effect": "Allow",
"Action": "ssm:ListDocuments",
"Resource": "*"
},
{
"Sid": "ViewDocumentIfOwner",
"Effect": "Allow",
"Action": "ssm:GetDocument",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
También puede adjuntar esta política al usuario de en su cuenta. Si un usuario llamado `richard-roe` intenta ver un documento de Systems Manager, el documento debe estar etiquetado como `Owner=richard-roe` o `owner=richard-roe`. De lo contrario, se le deniega el acceso. La clave de la etiqueta de condición `Owner` coincide con `Owner` y `owner` porque los nombres de clave de condición no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
# Políticas administradas de AWS para AWS Systems Manager
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está asociada la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
**Topics**
+ [Política administrada de AWS: AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [Política administrada de AWS: AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [Política administrada de AWS: AmazonSSMReadOnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [Política administrada por AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [Política administrada por AWS: AmazonSSMManagedEC2InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [Política administrada de AWS: SSMQuickSetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [Política administrada de AWS: AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [Política administrada de AWS: AWSQuickSetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [Política adminsitrada de AWS: AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS Política administrada de: `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS Política administrada de: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [Política administrada de AWS: AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [Política administrada de AWS: AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [Política administrada de AWS: AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [Política administrada de AWS: AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [Política administrada de AWS: AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [Política administrada de AWS: AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [Política administrada de AWS: AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [Política administrada de AWS: AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [Política administrada de AWS: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [Política administrada de AWS: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [Política administrada de AWS: AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [Política administrada de AWS: AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [Política administrada de AWS: AWSQuickSetupSSMManageResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [Política administrada de AWS: AWSQuickSetupSSMLifecycleManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [Política administrada de AWS: AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [Política administrada de AWS: AWSQuickSetupSSMDeploymentS3BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS Política administrada de: AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS Política administrada de: AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [Política administrada de AWS: AWSQuickSetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [Política administrada por AWS: AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [Política administrada por AWS: AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [Política administrada por AWS: AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [Política administrada por AWS: AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [Política administrada por AWS: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [Política administrada por AWS: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [Política administrada por AWS: AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [Política administrada de AWS: AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [Política administrada de AWS: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [Política administrada de AWS: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [Actualizaciones de Systems Manager para las políticas administradas de AWS](#security-iam-awsmanpol-updates)
+ [Políticas administradas adicionales para Systems Manager](#policies-list)
## Política administrada de AWS: AmazonSSMServiceRolePolicy
Esta política proporciona acceso a una serie de recursos de AWS que son administrados por AWS Systems Manager o utilizados en las operaciones de Systems Manager.
No puede adjuntar `AmazonSSMServiceRolePolicy` a sus entidades de AWS Identity and Access Management (IAM). Esta política está adjunta a un rol vinculado a servicios que permite a AWS Systems Manager realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles para recopilar datos de inventario y ver OpsData](using-service-linked-roles-service-action-1.md).
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales iniciar y escalonar las ejecuciones de Run Command y Automatización; recuperar información sobre las operaciones de Run Command y Automatización; recuperar información sobre los parámetros del Parameter Store y calendarios de Change Calendar; actualizar y recuperar información sobre la configuración del servicio de Systems Manager para recursos de OpsCenter; y leer información sobre las etiquetas que se aplicaron a los recursos.
+ `cloudformation`: permite a las entidades principales recuperar información sobre las operaciones y las instancias de los conjuntos de pilas, así como eliminarlos del recurso `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*`. Permite a las entidades principales eliminar las instancias de pila asociadas a los siguientes recursos:
```
arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
arn:aws:cloudformation:*:*:type/resource/*
```
+ `cloudwatch`: permite a las entidades principales obtener información sobre alarmas de Amazon CloudWatch.
+ `compute-optimizer`: permite a las entidades principales recuperar el estado de inscripción (suscripción) de una cuenta en el servicio de AWS Compute Optimizer y recuperar recomendaciones para las instancias de Amazon EC2 que cumplan con un conjunto específico de requisitos establecidos.
+ `config`: permite a las entidades principales recuperar información, corregir las configuraciones y los registradores de configuración de AWS Config y determinar si las reglas de AWS Config y los recursos de AWS especificados cumplen con los requisitos.
+ `events`. permite a las entidades principales recuperar información sobre las reglas de EventBridge; crear reglas y destino de EventBridge exclusivamente para el servicio de Systems Manager (`ssm.amazonaws.com`); y eliminar reglas y destinos del recurso `arn:aws:events:*:*:rule/SSMExplorerManagedRule`.
+ `ec2`: permite a las entidades principales recuperar información sobre las instancias de Amazon EC2.
+ `iam`: permite a las entidades principales transferir permisos de roles para el servicio de Systems Manager (`ssm.amazonaws.com`).
+ `lambda`: permite a las entidades principales invocar funciones de Lambda configuradas específicamente para su uso por parte de Systems Manager.
+ `resource-explorer-2`: permite a las entidades principales recuperar datos sobre las instancias de EC2 para determinar si Systems Manager administra actualmente cada instancia.
La acción `resource-explorer-2:CreateManagedView` está permitida para el recurso `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*`.
+ `resource-groups`: permite a las entidades principales recuperar una lista de grupos de recursos y sus miembros de Grupos de recursos de AWS desde los recursos que pertenecen a un grupo de recursos.
+ `securityhub`: permite a las entidades principales recuperar información sobre los recursos del centro de AWS Security Hub CSPM en la cuenta actual.
+ `states`: permite a las entidades principales iniciar y recuperar información de AWS Step Functions configurada específicamente para que la use Systems Manager.
+ `support`: permite a las entidades principales recuperar información sobre comprobaciones y casos en AWS Trusted Advisor.
+ `tag`: permite a las entidades principales recuperar información sobre todos los recursos etiquetados, o que estuvieron etiquetados previamente, que se encuentran en una Región de AWS específica de una cuenta.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AmazonSSMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AmazonSSMAutomationRole
Puede asociar la política `AmazonSSMAutomationRole` a las identidades de IAM. Esta política proporciona permisos para que el servicio Automatización de AWS Systems Manager ejecute las actividades definidas en los manuales de procedimientos de Automatización.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `lambda`: permite a las entidades principales invocar funciones de Lambda con nombres que comiencen por “Automatización”. Esto es necesario para que los manuales de procedimientos de Automatización ejecuten funciones de Lambda como parte de su flujo de trabajo.
+ `ec2`: permite a las entidades principales realizar diversas operaciones de Amazon EC2, como crear, copiar y anular el registro de imágenes; administrar instantáneas; iniciar, ejecutar, detener y terminar instancias; administrar el estado de las instancias; y crear, eliminar y describir etiquetas. Estos permisos permiten que los manuales de procedimientos de Automatización administren los recursos de Amazon EC2 durante la ejecución.
+ `cloudformation`: permite que las entidades principales creen, describan, actualicen y eliminen pilas de CloudFormation. Esto permite que los manuales de procedimientos de Automatización administren la infraestructura como código a través de CloudFormation.
+ `ssm`: permite a las entidades principales acceder a todas las acciones de Systems Manager. Este acceso integral es necesario para que los manuales de procedimientos de Automatización interactúen con todas las funciones de Systems Manager.
+ `sns`: permite a las entidades principales publicar mensajes en los temas de Amazon SNS con nombres que comiencen por “Automatización”. Esto permite que los manuales de procedimientos de Automatización envíen notificaciones durante la ejecución.
+ `ssmmessages`: permite a las entidades principales abrir los canales de datos a las sesiones de Systems Manager. Esto permite que los manuales de procedimientos de automatización establezcan canales de comunicación para las operaciones basadas en sesiones.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AmazonSSMAutomationRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AmazonSSMReadOnlyAccess
Puede asociar la política `AmazonSSMReadOnlyAccess` a las identidades de IAM. Esta política otorga acceso de solo lectura a las operaciones de la API de AWS Systems Manager, incluidas `Describe*`, `Get*` y `List*`.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada por AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy
No puede adjuntar `AWSSystemsManagerOpsDataSyncServiceRolePolicy` a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles para crear OpsData y OpsItems para Explorer](using-service-linked-roles-service-action-3.md).
`AWSSystemsManagerOpsDataSyncServiceRolePolicy` permite al rol vinculado a un servicio `AWSServiceRoleForSystemsManagerOpsDataSync` crear y actualizar OpsItems y OpsData desde resultados de AWS Security Hub CSPM.
La política permite que Systems Manager complete las siguientes acciones en todos los recursos relacionados (`"Resource": "*"`), excepto cuando se indica lo contrario:
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]
[1] Las acciones `ssm:GetOpsItem` y `ssm:UpdateOpsItem` solo tienen permisos por la siguiente condición para el servicio de Systems Manager.
```
"Condition": {
"StringEquals": {
"aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
}
}
```
[2] La acción `ssm:AddTagsToResource` solo tiene permisos para los siguientes recursos.
```
arn:aws:ssm:*:*:opsitem/*
```
[3] Las acciones `ssm:UpdateServiceSetting` y `ssm:GetServiceSetting` solo tienen permisos para los siguientes recursos.
```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```
[4] Las acciones `securityhub:BatchUpdateFindings` son permisos denegados por la siguiente condición para el servicio de Systems Manager.
```
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Confidence": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Criticality": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.Text": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/RelatedFindings": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Types": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
}
}
},
{
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/VerificationState": false
}
}
```
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada por AWS: AmazonSSMManagedEC2InstanceDefaultPolicy
Solo debe adjuntar `AmazonSSMManagedEC2InstanceDefaultPolicy` a roles de IAM para las instancias de Amazon EC2 para las que desee tener permiso para usar la funcionalidad de Systems Manager. No debe asignar esta función a otras entidades de IAM, como los usuarios y los grupos de IAM, ni a roles de IAM que sirvan para otros fines. Para obtener más información, consulte [Administración automática de instancias EC2 con la configuración de administración de hosts predeterminada](fleet-manager-default-host-management-configuration.md).
Esta política otorga permisos que permiten a SSM Agent en su instancia de Amazon EC2 comunicarse con el servicio Systems Manager en la nube para realizar diversas tareas. También otorga permisos para los dos servicios que proporcionan tokens de autorización para garantizar que las operaciones se realicen en la instancia correcta.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite que las entidades principales recuperen documentos, ejecuten comandos con Run Command, establezcan sesiones con Session Manager, recopilen un inventario de la instancia, y analicen las revisiones y el cumplimiento de las mismas mediante Patch Manager.
+ `ssmmessages`: permite a las entidades principale acceder, para cada instancia, a un token de autorización personalizado creado por *[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)*. Systems Manager valida el token de autorización personalizado cotejándolo con el Nombre de recurso de Amazon (ARN) de la instancia, proporcionado en la operación de la API. Este acceso es necesario para garantizar que SSM Agent realice las operaciones de la API en la instancia correcta.
+ `ec2messages`: permite a las entidades principale acceder, para cada instancia, a un token de autorización personalizado creado por *[Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)*. Systems Manager valida el token de autorización personalizado cotejándolo con el Nombre de recurso de Amazon (ARN) de la instancia, proporcionado en la operación de la API. Este acceso es necesario para garantizar que SSM Agent realice las operaciones de la API en la instancia correcta.
Para obtener información relacionada con los puntos de conexión de `ssmmessages` y de `ec2messages`, incluidas las diferencias entre ambos, consulte [Operaciones de la API relacionadas con el agente (puntos de conexión de `ssmmessages` y `ec2messages`)](systems-manager-setting-up-messageAPIs.md#message-services).
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AmazonSSMManagedEC2InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: SSMQuickSetupRolePolicy
No se puede adjuntar SSMQuickSetupRolePolicy a las entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles para mantener el estado y la consistencia de los recursos aprovisionados de Quick Setup](using-service-linked-roles-service-action-5.md).
Esta política otorga permisos de solo lectura que permiten a Systems Manager comprobar el estado de la configuración, garantizar el uso coherente de los parámetros y los recursos aprovisionados, además de corregir los recursos cuando se detecta una desviación. También concede permisos administrativos para crear un rol vinculado al servicio.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales leer sincronizaciones de datos de recursos de información y documentos de SSM en Systems Manager y en las cuentas de administrador delegado. Esto es necesario para que la Quick Setup pueda determinar el estado en el que deben estar configurados los recursos.
+ `organizations`: permite a las entidades principales leer información sobre las cuentas de los miembros que pertenecen a una organización, tal como se configuró en AWS Organizations. Esto es necesario para que Quick Setup pueda identificar todas las cuentas de una organización en las que se van a realizar comprobaciones de estado de los recursos.
+ `cloudformation`: permite a las entidades principales leer la información de CloudFormation. Esto es necesario para que Quick Setup pueda recopilar datos sobre las pilas de CloudFormation que se utilizan para administrar el estado de los recursos y las operaciones de los conjuntos de pilas de CloudFormation.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupDeploymentRolePolicy
La política administrada de `AWSQuickSetupDeploymentRolePolicy` admite varios tipos de configuración de Quick Setup. Estos tipos de configuración crean roles y automatizaciones de IAM que configuran servicios y características de Amazon Web Services utilizados con frecuencia, mediante las prácticas recomendadas.
Puede adjuntar `AWSQuickSetupDeploymentRolePolicy` a sus entidades de IAM.
Esta política concede los permisos administrativos necesarios para crear recursos asociados a las siguientes configuraciones de Quick Setup:
+ [Instalar la administración de host de Amazon EC2 mediante Quick Setup](quick-setup-host-management.md)
+ [Cree un registrador de configuración de AWS Config mediante Quick Setup](quick-setup-config.md)
+ [Implemente el paquete de conformidad de AWS Config mediante Quick Setup](quick-setup-cpack.md)
+ [Configurar DevOps Guru con Quick Setup](quick-setup-devops.md)
+ [Implemente paquetes de Distributor mediante Quick Setup](quick-setup-distributor.md)
+ [Detenga e inicie las instancias EC2 automáticamente según una programación mediante Quick Setup](quick-setup-scheduler.md)
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales leer, crear, actualizar y eliminar documentos de SSM con nombres que comiencen por “AWSQuickSetup-” o “AWSOperationsPack-” cuando se los llama a través de CloudFormation; leer documentos específicos propiedad de AWS, como “AWSQuickSetupType-ManageInstanceProfile”, “AWSQuickSetupType-ConfigureDevOpsGuru” y “AWSQuickSetupType-DeployConformancePack” crear, actualizar y eliminar asociaciones de documentos Quick Setup y documentos propiedad de AWS cuando se los llama a través de CloudFormation; y limpiar los recursos heredados etiquetados con `QuickSetupID`. Esto permite a Quick Setup implementar y administrar flujos de trabajo y asociaciones de automatización.
+ `cloudformation`: permite a las entidades principales leer información acerca de pilas y conjuntos de pilas de CloudFormation; y crear, actualizar y eliminar pilas de CloudFormation y conjuntos de cambios para recursos cuyos nombres comiencen por “StackSet-AWS-QuickSetup-”. Esto permite a Quick Setup administrar las implementaciones de infraestructura en todas las cuentas y regiones.
+ `config`: permite a las entidades principales leer información acerca de los paquetes de conformidad de AWS Config y su estado; y crear y eliminar paquetes de conformidad con nombres que comiencen por “AWS-QuickSetup-” cuando se los llama a través de CloudFormation. Esto permite a Quick Setup implementar configuraciones de supervisión de conformidad.
+ `events`: permite a las entidades principales administrar las reglas y los objetivos de EventBridge para los recursos con nombres que contengan “QuickSetup-”. Esto permite a Quick Setup crear flujos de trabajo de automatización programados.
+ `iam`: permite a las entidades principales crear roles vinculados a servicios para AWS Config y Systems Manager; crear, administrar y eliminar roles de IAM con nombres que comiencen por “AWS-QuickSetup-” o “AWSOperationsPack-” cuando se los llame a través de CloudFormation; transferir estos roles a los servicios de Systems Manager y EventBridge; adjuntar políticas específicas administradas por AWS a estos roles; y establecer límites de permisos mediante políticas específicas administradas por Quick Setup. Esto permite a Quick Setup crear los roles de servicio necesarios para sus operaciones.
+ `resource-groups`: permite a las entidades principales recuperar consultas de grupos de recursos. Esto permite a Quick Setup dirigir conjuntos específicos de recursos para la administración de la configuración.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupPatchPolicyDeploymentRolePolicy
La política administrada de `AWSQuickSetupPatchPolicyDeploymentRolePolicy` admite el tipo de [Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup](quick-setup-patch-manager.md) Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.
Puede adjuntar `AWSQuickSetupPatchPolicyDeploymentRolePolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política concede permisos administrativos que permiten que Quick Setup cree recursos asociados a la configuración de la política de revisiones.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: permite a las entidades principales gestionar y eliminar los roles de IAM necesarios para las tareas de configuración de automatización y gestionar las políticas de roles de automatización.
+ `cloudformation`: permite a las entidades principales leer la información de las pilas de CloudFormation y controlar las pilas de CloudFormation que se crearon por Quick Setupmediante conjuntos de pilas de CloudFormation.
+ `ssm`: permite a las entidades principales crear, actualizar, leer y eliminar los manuales de procedimientos de automatización necesarios para las tareas de configuración, así como crear, actualizar y eliminar asociaciones de State Manager.
+ `resource-groups`: permite a las entidades principales recuperar las consultas de recursos asociadas a grupos de recursos a los que se dirigen las configuraciones de Quick Setup.
+ `s3`: permite a las entidades principales enumerar los buckets de Amazon S3 y gestionarlos para almacenar los registros de acceso a las políticas de revisiones.
+ `lambda`: permite a las entidades principales gestionar las funciones de corrección de AWS Lambda que mantienen las configuraciones en el estado correcto.
+ `logs`: permite a las entidades principales describir y administrar grupos de registros para recursos de configuración de Lambda.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política adminsitrada de AWS: AWSQuickSetupPatchPolicyBaselineAccess
La política administrada de `AWSQuickSetupPatchPolicyBaselineAccess` admite el tipo de [Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup](quick-setup-patch-manager.md) Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.
Puede adjuntar `AWSQuickSetupPatchPolicyBaselineAccess` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política proporciona permisos de solo lectura para acceder a las líneas de base de revisiones configuradas por un administrador de la Cuenta de AWS actual o de la organización que utiliza Quick Setup. Las líneas de base de revisiones se almacenan en un bucket de Amazon S3 y se pueden utilizar para aplicar revisiones a instancias en una sola cuenta o en toda la organización.
**Detalles de los permisos**
Esta política incluye el siguiente permiso.
+ `s3`: permite a las entidades principales leer las anulaciones de la línea de base de revisiones almacenadas en buckets de Amazon S3.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupPatchPolicyBaselineAccessy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html) en la *Guía de referencia de políticas administradas de AWS*.
## AWS Política administrada de: `AWSSystemsManagerEnableExplorerExecutionPolicy`
La política administrada de `AWSSystemsManagerEnableExplorerExecutionPolicy` admite la habilitación de Explorer, una herramienta de AWS Systems Manager.
Puede adjuntar `AWSSystemsManagerEnableExplorerExecutionPolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política concede permisos administrativos para la habilitación de Explorer. Esto incluye permisos para actualizar la configuración de servicios de Systems Manager relacionados y para crear un rol vinculado al servicio para Systems Manager.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `config`: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.
+ `iam`: permite que las entidades principales ayuden a habilitar Explorer
+ `ssm`: permite que las entidades principales inicien un flujo de trabajo de automatización que habilita Explorer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## AWS Política administrada de: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
La política administrada de `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` admite los tipos de configuración de [Cree un registrador de configuración de AWS Config mediante Quick Setup](quick-setup-config.md) Quick Setup. Este tipo de configuración habilita a Quick Setup a realizar un seguimiento y registrar los cambios en los tipos de recursos de AWS que elija para AWS Config. También habilita a Quick Setup para que configure las opciones de entrega y notificación de los datos registrados.
Puede adjuntar `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar el registro de la configuración de AWS Config.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `s3`: permite que las entidades principales creen y configuren buckets de Amazon S3 para la entrega de grabaciones de configuración.
+ `sns`: permite que las entidades principales enumeren y creen temas de Amazon SNS.
+ `config`: permite que las entidades principales configuren e inicien el registrador de configuración y ayudar a habilitar Explorer.
+ `iam`: permite que las entidades principales creen, obtengan y pasen un rol vinculado al servicio para AWS Config; y además crear un rol vinculado al servicio para Systems Manager; y ayudar a habilitar Explorer.
+ `ssm`: permite que las entidades principales inicien un flujo de trabajo de automatización que habilita Explorer.
+ `compute-optimizer`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
+ `support`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupDevOpsGuruPermissionsBoundary
**nota**
Esta política es un *límite de permisos*. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
La política administrada `AWSQuickSetupDevOpsGuruPermissionsBoundary` admite el tipo [Configurar DevOps Guru con Quick Setup](quick-setup-devops.md). El tipo de configuración habilita Amazon DevOps Guru, con tecnología de machine learning. El servicio DevOps Guru puede ayudar a mejorar el rendimiento operativo y la disponibilidad de la aplicación.
Al crear una configuración de `AWSQuickSetupDevOpsGuruPermissionsBoundary` mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar Amazon DevOps Guru.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: permite que las entidades principales creen funciones vinculadas a servicios para DevOps Guru y Systems Manager, y enumerar los roles que ayudan a habilitar Explorer.
+ `cloudformation`: permite que las entidades principales enumeren y describar las pilas de CloudFormation.
+ `sns`: permite que las entidades principales enumeren y creen temas de Amazon SNS.
+ `devops-guru`: permite a las entidades principales configuren DevOps Guru y agreguen un canal de notificaciones.
+ `config`: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.
+ `ssm`: permite que las entidades principales inicien un flujo de trabajo de automatización que habilite Explorer; y lean y actualicen la configuración del servicio Explorer.
+ `compute-optimizer`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
+ `support`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupDistributorPermissionsBoundary
**nota**
Esta política es un *límite de permisos*. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
La política administrada de `AWSQuickSetupDistributorPermissionsBoundary` admite los tipos de configuración de [Implemente paquetes de Distributor mediante Quick Setup](quick-setup-distributor.md) Quick Setup. El tipo de configuración permite la distribución de paquetes de software, como agentes, a sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) mediante Distribuidor, una herramienta de AWS Systems Manager.
Al crear una configuración de `AWSQuickSetupDistributorPermissionsBoundary` mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten que Quick Setup habilite la distribución de paquetes de software, como agentes, a sus instancias de Amazon EC2 mediante Distributor.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: permite que las entidades principales obtengan y pasen el rolde automatización de Distributor; que creen, lean, actualicen y elimien el rol de instancia predeterminada; transfieran el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas de administración de instancias a los roles de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los roles de IAM y los perfiles de instancia; y creen el perfil de instancia predeterminada.
+ `ec2`: permite que las entidades principales asocien el perfil de instancia predeterminada a las instancias EC2 y ayuden a habilitarExplorer.
+ `ssm`: permite que las entidades principales incien los flujos de trabajo de automatización que configuran las instancias e instalan paquetes; y ayudan a iniciar el flujo de trabajo de automatización que habilita Explorer; y leen y actualizan la configuración de servicio de Explorer.
+ `config`: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.
+ `compute-optimizer`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
+ `support`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupSSMHostMgmtPermissionsBoundary
**nota**
Esta política es un *límite de permisos*. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
La política administrada de `AWSQuickSetupSSMHostMgmtPermissionsBoundary` admite los tipos de configuración de [Instalar la administración de host de Amazon EC2 mediante Quick Setup](quick-setup-host-management.md) Quick Setup. Este tipo de configuración ajusta los roles de IAM y habilita las herramientas de Systems Manager más utilizadas para administrar de forma segura las instancias de Amazon EC2.
Al crear una configuración de `AWSQuickSetupSSMHostMgmtPermissionsBoundary` mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten que Quick Setup habilite y configure las herramientas de Systems Manager necesarias para administrar de forma segura las instancias de EC2.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: permite que las entidades principales obtengan y transfieran el rol de servicio para la automatización. Permite que las entidades principales creen, lean, actualicen y elimien el rol de instancia predeterminada; transfieran el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas de administración de instancias a los roles de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los roles de IAM y los perfiles de instancia; y creen el perfil de instancia predeterminada.
+ `ec2`: permite que las entidades principales asocien y cancelen la asociación del perfil de instancia predeterminada a las instancias EC2.
+ `ssm`: permite que las entidades principales inicien flujos de trabajo de Automatización que habilitan Explorer; lean y actualicen la configuración de servicio de Explorer; configuren instancias y habiliten las herramientas de Systems Manager en las instancias.
+ `compute-optimizer`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
+ `support`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupSSMHostMgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupPatchPolicyPermissionsBoundary
**nota**
Esta política es un *límite de permisos*. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
La política administrada de `AWSQuickSetupPatchPolicyPermissionsBoundary` admite el tipo de [Cómo configurar las revisiones para las instancias de una organización mediante una política de parches Quick Setup](quick-setup-patch-manager.md) Quick Setup. Este tipo de configuración ayuda a automatizar la aplicación de revisiones en aplicaciones y nodos en una sola cuenta o en toda la organización.
Al crear una configuración de `AWSQuickSetupPatchPolicyPermissionsBoundary` mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten que Quick Setup habilite y configure políticas de revisiones en Patch Manager, una herramienta de AWS Systems Manager.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: permite que las entidades principales obtengan el rol de automatización de Patch Manager; pasen las funciones de automatización a las operaciones de aplicación de revisiones de Patch Manager; creen el rol de instancia predeterminada, `AmazonSSMRoleForInstancesQuickSetup`; pasen el rol de instancia predeterminada a Amazon EC2 y Systems Manager; adjunten políticas gestionadas de AWS seleccionadas al rol de instancia; creen un rol vinculado al servicio para Systems Manager; agreguen el rol de instancia predeterminada a los perfiles de instancia; lean información sobre los perfiles y roles de las instancias; creen un perfil de instancia predeterminado; y etiqueten funciones que tienen permisos de lectura de anulaciones de línea de base de revisiones.
+ `ssm`: permite que las entidades principales actualicen el rol de instancia que gestiona Systems Manager; gestionen las asociaciones creadas por las políticas de revisiones de Patch Manager creadas enQuick Setup; etiqueten las instancias a las que se dirige una configuración de política de revisiones; lean información sobre las instancias y el estado de las revisiones; inicien los flujos de trabajo de automatización que configuran, habilitan y corrigen las revisiones de instancias; inicien los flujos de trabajo de automatización que habilitan Explorer; ayuden a habilitar Explorer; y lean y actualicen la configuración del servicio de Explorer.
+ `ec2`: permite que las entidades principales asocien y desasocien el perfil de instancia predeterminado con las instancias de EC2; etiqueten las instancias a las que se dirige una configuración de política de revisiones; etiqueten las instancias a las que se dirige una configuración de política de revisiones; y ayuden a habilitar Explorer.
+ `s3`: permite que las entidades principales creen y configuren buckets de S3 para almacenar las anulaciones de línea de base de revisiones.
+ `lambda`: permite que las entidades principales invoquen funciones AWS Lambda que configuran la aplicación de revisiones y realizan operaciones de limpieza una vez eliminada la configuración de una política de revisiones de Quick Setup.
+ `logs`: permite que las entidades principales configuren el registro para las funciones AWS Lambda de Quick Setup Patch Manager.
+ `config`: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.
+ `compute-optimizer`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
+ `support`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupSchedulerPermissionsBoundary
**nota**
Esta política es un *límite de permisos*. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
La política administrada de `AWSQuickSetupSchedulerPermissionsBoundary` admite los tipos de configuración de [Detenga e inicie las instancias EC2 automáticamente según una programación mediante Quick Setup](quick-setup-scheduler.md) Quick Setup. Este tipo de configuración le permite detener e iniciar las instancias de EC2 y otros recursos en los momentos que especifique.
Al crear una configuración de `AWSQuickSetupSchedulerPermissionsBoundary` mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten a Quick Setup habilitar y configurar operaciones programadas en instancias EC2 y otros recursos.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: permite que las entidades principales recuperen y transfieran roles para las acciones de automatización de la administración de instancias; administren, pasen y adjunten roles de instancia predeterminadas para la administración de instancias de EC2; creen perfiles de instancia predeterminados; agreguen roles de instancia predeterminados a los perfiles de instancia; creen un rol vinculado a un servicio para Systems Manager; lean información sobre los roles de IAM y los perfiles de instancia; asocien un perfil de instancia predeterminado a las instancias de EC2; e inicien flujos de trabajo de Automatización para configurar las instancias y habilitar las herramientas de Systems Manager.
+ `ssm`: permite que las entidades principales inicien los flujos de trabajo de automatización que habilitan Explorer; y lean y actualicen la configuración de servicio de Explorer.
+ ec2: permite que las entidades principales localicen las instancias de destino e iniciarlas y detenerlas según una programación.
+ `config`: permite que las entidades principales ayuden a habilitar Explorer mediante el acceso de solo lectura a los detalles del registrador de configuraciones.
+ `compute-optimizer`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura para determinar si un recurso está inscrito con AWS Compute Optimizer.
+ `support`: permite que las entidades principales ayuden a habilitar Explorer al proporcionar acceso de solo lectura a las verificaciónes de AWS Trusted Advisor de una cuenta.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupCFGCPacksPermissionsBoundary
**nota**
Esta política es un *límite de permisos*. Un límite de permisos establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. No debe usar ni adjuntar políticas de límites de permisos de Quick Setup por su cuenta. Las políticas de límites de permisos de Quick Setup solo deben adjuntarse a las funciones administradas de Quick Setup. Para obtener más información sobre los límites de los permisos, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
La política administrada de `AWSQuickSetupCFGCPacksPermissionsBoundary` admite el tipo de configuración [Implemente el paquete de conformidad de AWS Config mediante Quick Setup](quick-setup-cpack.md) Quick Setup. Este tipo de configuración implementa paquetes de conformidad AWS Config. Los paquetes de conformidad son conjunto de reglas de AWS Config y acciones correctivas que se puedan implementar como una sola entidad.
Al crear una configuración de `AWSQuickSetupCFGCPacksPermissionsBoundary` mediante Quick Setup, el sistema aplica este límite de permisos a los roles de IAM que se crean al implementar la configuración. El límite de permisos limita el alcance de los roles que crea Quick Setup.
Esta política concede permisos administrativos que permiten a Quick Setup implementar paquetes de conformidad de AWS Config.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: permite que las entidades principales creen, obtengan y pasen un rol vinculado a un servicio para AWS Config.
+ `sns`: permite que las entidades principales enumeren las aplicaciones de la plataforma en Amazon SNS.
+ `config`: permite que las entidades principales implementen paquetes de conformidad de AWS Config, obtengan el estado de los paquetes de conformidad y obtengan información sobre los registradores de configuración.
+ `ssm`: permite que las entidades principales obtengan información sobre los documentos SSM y los flujos de trabajo de automatización; obtengan información sobre las etiquetas de los recursos; y obtengan información sobre la configuración del servicio y la actualicen.
+ `compute-optimizer`: permite que las entidades principales obtengan el estado de suscripción de una cuenta.
+ `support`: permite que las entidades principales obtengan información sobre las verificaciones de AWS Trusted Advisor.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupCFGCPacksPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupStartStopInstancesExecutionPolicy
Puede adjuntar `AWSQuickSetupStartStopInstancesExecutionPolicy` a sus entidades de IAM. Esta política proporciona permisos para Quick Setup a fin administrar el inicio y la detención de instancias de Amazon EC2 mediante la automatización de Systems Manager.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ec2`: permite a las entidades principales describir instancias de Amazon EC2, su estado, regiones y etiquetas. También permite iniciar y detener instancias específicas de Amazon EC2.
+ `ssm`: permite a las entidades principales obtener el estado del calendario a partir de los calendarios de cambios de Quick Setup, iniciar asociaciones y ejecutar documentos de automatización para la programación de instancias.
+ `iam`: permite a las entidades principales transferir los roles de IAM de Quick Setup a Systems Manager para la ejecución de la automatización, con las condiciones que restringen el servicio a ssm.amazonaws.com y a ARN de recursos específicos.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupStartSSMAssociationsExecutionPolicy
Esta política otorga permisos que permiten a Quick Setup ejecutar el manual de procedimientos de Automatización `AWSQuickSetupType-Scheduler-ChangeCalendarState`. Este manual de procedimientos se utiliza para gestionar los estados del calendario de cambios para las operaciones programadas en las configuraciones de Quick Setup.
Puede adjuntar `AWSQuickSetupStartSSMAssociationsExecutionPolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales iniciar las ejecuciones automatizadas específicamente para el documento de `AWSQuickSetupType-Scheduler-ChangeCalendarState`. Esto es necesario para que Quick Setup administre los estados del calendario de cambios para las operaciones programadas.
+ `iam`: permite a las entidades principales transferir roles con nombres que comiencen por “AWS-QuickSetup-” al servicio de Systems Manager. El uso de este permiso está restringido a documentos de SSM específicos relacionados con la administración del calendario de cambios. Esto es necesario para que Quick Setup transfiera el rol de ejecución adecuado al proceso de automatización.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
La política `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` otorga permisos para diganosticar problemas con los nodos que interactúan con los servicios de Systems Manager al iniciar los flujos de trabajo de Automatización en las cuentas y regiones donde se administren los nodos.
Puede adjuntar `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones de diagnóstico en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales ejecutar manuales de procedimientos de Automatización que diagnostican los problemas de los nodos, acceden al estado de ejecución de un flujo de trabajo y recuperan información sobre la ejecución de automatización. La política otorga permisos para describir las ejecuciones de automatización, describir las ejecuciones de los pasos de automatización, obtener detalles sobre la ejecución de la automatización e iniciar las ejecuciones de automatización para los documentos relacionados con el diagnóstico.
+ `kms`: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente para el descifrado y la generación de claves de datos, al acceder a objetos cifrados en los buckets de Amazon S3 que se utilizan para las operaciones de diagnóstico. Estos permisos están restringidos a las claves etiquetadas con `SystemsManagerManaged` y utilizadas a través del servicio Amazon S3 con requisitos de contexto de cifrado específicos.
+ `sts`: permite a las entidades principales asumir roles de ejecución de diagnósticos para ejecutar los manuales de procedimientos de Automatización en la misma cuenta. Este permiso está restringido a los roles con el patrón de nomenclatura `AWS-SSM-DiagnosisExecutionRole` e incluye una condición para garantizar que la cuenta de recursos coincida con la cuenta de la entidad principal.
+ `iam`: permite a las entidades principales transferir el rol de administración de diagnósticos a Systems Manager para ejecutar los manuales de procedimientos de Automatización. Este permiso está restringido a las funciones con el patrón de nomenclatura `AWS-SSM-DiagnosisAdminRole` y solo se puede transferir al servicio Systems Manager.
+ `s3`: permite a las entidades principales acceder, leer, escribir y eliminar objetos en los buckets de Amazon S3 que se utilizan para las operaciones de diagnóstico. Estos permisos están restringidos a los buckets con el mismo patrón de nomenclatura `do-not-delete-ssm-diagnosis-` e incluyen condiciones para garantizar que las operaciones se realicen dentro de la misma cuenta.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
La política administrada `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` otorga permisos administrativos para ejecutar manuales de procedimientos de Automatización en una región y Cuenta de AWS específicas para diagnosticar problemas con los nodos administrados que interactúen con los servicios de Systems Manager.
Puede adjuntar `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ec2`: permite a las entidades principales describir los recursos de Amazon EC2 y Amazon VPC, así como sus configuraciones, para diagnosticar problemas con los servicios de Systems Manager. Esto incluye permisos para describir las VPC, los atributos de la VPC, los puntos de conexión de VPC, las subredes, los grupos de seguridad, las instancias, los estados de las instancias, ACL de red y las puertas de enlace de Internet.
+ `ssm`: permite a las entidades principales ejecutar manuales de procedimientos de Automatización específicos de diagnóstico y acceder al estado del flujo de trabajo de automatización y a los metadatos de ejecución. Esto incluye permisos para describir las ejecuciones de los pasos de automatización, describir la información de las instancias, describir las ejecuciones de automatización, describir las activaciones, obtener detalles de la ejecución de la automatización, obtener la configuración de servicio e iniciar las ejecuciones de automatización para documentos de diagnóstico de EC2 específicos no administrados por AWS.
+ `kms`: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente para el descifrado y la generación de claves de datos, al acceder a objetos cifrados en los buckets de Amazon S3 que se utilizan para las operaciones de diagnóstico. Estos permisos están restringidos a las claves etiquetadas con `SystemsManagerManaged` y utilizadas a través del servicio Amazon S3 con requisitos de contexto de cifrado específicos para buckets de diagnóstico.
+ `iam`: permite a las entidades principales transferir el rol de ejecución de diagnósticos a Systems Manager para ejecutar documentos de Automatización. Este permiso está restringido a los roles con el patrón de nomenclatura `AWS-SSM-DiagnosisExecutionRole` y solo se puede transferir al servicio Systems Manager.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
La política `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` proporciona permisos para solucionar problemas con los servicios de Systems Manager mediante la ejecución de las actividades definidas en los documentos de Automatización, que se utilizan principalmente para ejecutar los documentos de Automatización. Esta política permite iniciar flujos de trabajo de Automatización en cuentas y regiones donde se administran los nodos para abordar los problemas de conectividad y configuración.
Puede adjuntar `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones de remediación en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales ejecutar manuales de procedimientos de Automatización específicos que solucionan los problemas de los nodos, acceden al estado de ejecución de un flujo de trabajo y recuperan la información de ejecución de la automatización. La política otorga permisos para describir las ejecuciones de automatización, describir las ejecuciones de los pasos de automatización, obtener detalles sobre las ejecuciones de la automatización e iniciar las ejecuciones de automatización para los documentos relacionados con la corrección.
+ `kms`: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente para el descifrado y la generación de claves de datos, al acceder a objetos cifrados en los buckets de Amazon S3 que se utilizan para las operaciones de remediación. Estos permisos están restringidos a las claves etiquetadas con `SystemsManagerManaged` y utilizadas a través del servicio Amazon S3 con requisitos de contexto de cifrado específicos.
+ `sts`: permite a las entidades principales asumir roles de ejecución de remediación para ejecutar los manuales de procedimientos de Automatización en la misma cuenta. Este permiso está restringido a los roles con el patrón de nomenclatura `AWS-SSM-RemediationExecutionRole` e incluye una condición para garantizar que la cuenta de recursos coincida con la cuenta de la entidad principal.
+ `iam`: permite a las entidades principales transferir el rol de administración de remediación a Systems Manager para ejecutar los manuales de procedimientos de Automatización. Este permiso está restringido a los roles con el patrón de nomenclatura `AWS-SSM-RemediationAdminRole` y solo se puede transferir al servicio Systems Manager.
+ `s3`: permite a las entidades principales acceder, leer, escribir y eliminar objetos en los buckets de Amazon S3 que se utilizan para las operaciones de remediación. Estos permisos están restringidos a los buckets con el mismo patrón de nomenclatura `do-not-delete-ssm-diagnosis-` e incluyen condiciones para garantizar que las operaciones se realicen dentro de la misma cuenta.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
La política administrada `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` otorga permisos administrativos para ejecutar manuales de procedimientos de Automatización en una región y cuenta de destino específicas para resolver problemas de redes y conectividad con los nodos administrados que interactúen con los servicios de Systems Manager. Esta política permite las actividades de corrección definidas en los documentos de Automatización, que se utilizan principalmente para ejecutar los documentos de Automatización a fin de abordar problemas de conectividad y configuración.
Puede asociar la política a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones de remediación en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales recuperar información sobre las ejecuciones de Automatización y sus ejecuciones escalonadas, e iniciar manuales de procedimientos de Automatización de remediación específicos, incluidos los documentos `AWS-OrchestrateUnmanagedEC2Actions` y `AWS-RemediateSSMAgent`. La política otorga permisos para describir las ejecuciones de automatización, describir las ejecuciones de los pasos de automatización, obtener detalles sobre las ejecuciones de la automatización e iniciar las ejecuciones de automatización para los documentos relacionados con la corrección.
+ `ec2`: permite a las entidades principales describir y modificar los recursos de red de Amazon VPC para solucionar problemas de conectividad. Esto incluye:
+ Descripción de los atributos de Amazon VPC, subredes, puntos de conexión de Amazon VPC y grupos de seguridad.
+ Creación de puntos de conexión de Amazon VPC para los servicios de Systems Manager (`ssm`, `ssmmessages`, y `ec2messages`) con las etiquetas necesarias.
+ Modificación de los atributos de Amazon VPC para activar la compatibilidad con DNS y los nombres de host.
+ Creación y administración de los grupos de seguridad con etiquetas específicas para el acceso a los puntos de conexión de Amazon VPC.
+ Autorización y revocación de las reglas de los grupos de seguridad para el acceso a HTTPS con las etiquetas adecuadas.
+ Creación de etiquetas en los puntos de conexión de Amazon VPC, los grupos de seguridad y las reglas de los grupos de seguridad durante la creación de los recursos.
+ `kms`: permite a las entidades principales utilizar claves de AWS Key Management Service especificadas por el cliente para el descifrado y la generación de claves de datos, al acceder a objetos cifrados en los buckets de Amazon S3 que se utilizan para las operaciones de remediación. Estos permisos están restringidos a las claves etiquetadas con `SystemsManagerManaged` y utilizadas a través del servicio Amazon S3 con requisitos de contexto de cifrado específicos.
+ `iam`: permite a las entidades principales transferir el rol de ejecución de remediación Systems Manager para ejecutar manuales de procedimientos de Automatización. Este permiso está restringido a los roles con el patrón de nomenclatura `AWS-SSM-RemediationExecutionRole` y solo se puede transferir al servicio Systems Manager.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupSSMManageResourcesExecutionPolicy
Esta política otorga permisos que permiten a Quick Setup ejecutar el manual de procedimientos de Automatización `AWSQuickSetupType-SSM-SetupResources`. Este manual de procedimientos crea roles de IAM para las asociaciones de Quick Setup, que a su vez se crean mediante una implementación de `AWSQuickSetupType-SSM`. También concede permisos para limpiar un bucket de Amazon S3 asociado durante una operación de eliminación de Quick Setup.
Puede adjuntar la política a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: permite a las entidades principales enumerar y administrar los roles de IAM para utilizarlos con las operaciones del Explorador de Systems Manager de Quick Setup y ver, adjuntar y separar las políticas de IAM para utilizarlas con Quick Setup y el Explorador de Systems Manager. Estos permisos son necesarios para que Quick Setup pueda crear los roles necesarios para algunas de sus operaciones de configuración.
+ `s3`: permite a las entidades principales recuperar información sobre los objetos de los buckets de Amazon S3 de la cuenta de la entidad principal que se utilizan específicamente en las operaciones de configuración de Quick Setup. También les permite eliminarlos. Esto es necesario para poder eliminar los objetos de S3 que ya no se necesitan después de la configuración.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupSSMLifecycleManagementExecutionPolicy
La política `AWSQuickSetupSSMLifecycleManagementExecutionPolicy` otorga permisos administrativos que permite a Quick Setup ejecutar un recurso personalizado de CloudFormation en los eventos del ciclo de vida durante la implementación de Quick Setup en Systems Manager.
Puede adjuntar esta política a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales obtener información sobre las ejecuciones de automatización e iniciarlas para configurar determinadas operaciones de Quick Setup.
+ `iam`: permite a las entidades principales transferir roles de IAM para configurar determinados recursos de Quick Setup.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupSSMDeploymentRolePolicy
La política administrada `AWSQuickSetupSSMDeploymentRolePolicy` concede permisos administrativos para que Quick Setup pueda crear recursos que se utilizan durante el proceso de incorporación de Systems Manager.
Aunque puede adjuntar esta política a sus entidades de IAM manualmente, no se recomienda. Quick Setup crea entidades que adjuntan esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Esta política no está relacionada con la [política `SSMQuickSetupRolePolicy`](using-service-linked-roles-service-action-5.md), que se utiliza para conceder permisos para el rol `AWSServiceRoleForSSMQuickSetup` vinculado al servicio.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales administrar las asociaciones de determinados recursos que se crean mediante plantillas de AWS CloudFormation y un conjunto específico de documentos de SSM; administrar los roles y sus políticas para el diagnóstico y la corrección de los nodos administrados mediante plantillas de CloudFormation; y adjuntar y eliminar políticas de los eventos del ciclo de vida de Quick Setup.
+ `iam`: permite a las entidades principales etiquetar roles y transferir permisos de roles para los servicios de Systems Manager y Lambda. Además, permite transferir permisos de roles para operaciones de diagnóstico.
+ `lambda`: permite a las entidades principales etiquetar y administrar las funciones durante todo el ciclo de vida de Quick Setup de la cuenta principal mediante plantillas de CloudFormation.
+ `cloudformation`: permite a las entidades principales leer la información de CloudFormation. Esto es necesario para que Quick Setup pueda recopilar datos sobre las pilas de CloudFormation que se utilizan para administrar el estado de los recursos y las operaciones de los conjuntos de pilas de CloudFormation.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupSSMDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupSSMDeploymentS3BucketRolePolicy
La política `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` otorga permisos para enumerar todos los buckets de S3 de una cuenta, así como para administrar y recuperar información sobre buckets específicos de la cuenta de la entidad principal que se administran mediante plantillas de CloudFormation.
Puede adjuntar `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `s3`: permite a las entidades principales enumerar todos los buckets de S3 de una cuenta, así como administrar y recuperar información sobre buckets específicos de la cuenta de la entidad principal que se administran con plantillas de CloudFormation.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupSSMDeploymentS3BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## AWS Política administrada de: AWSQuickSetupEnableDHMCExecutionPolicy
Esta política otorga permisos administrativos que permiten a las entidades principales ejecutar el manual de procedimientos de Automatización `AWSQuickSetupType-EnableDHMC`, que habilita la configuración de administración de hosts predeterminada. La configuración de administración de hosts predeterminada permite que Systems Manager administre las instancias de Amazon EC2 de forma automática como *instancias administradas*. Una instancia administrada es una instancia EC2 configurada para usarla con Systems Manager. Esta política también concede permisos para crear roles de IAM que se especifican en la configuración del servicio de Systems Manager como roles predeterminados de SSM Agent.
Puede adjuntar `AWSQuickSetupEnableDHMCExecutionPolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales actualizar y obtener información sobre la configuración del servicio de Systems Manager.
+ `iam`: permite a las entidades principales crear y recuperar información sobre los roles de IAM para las operaciones de Quick Setup.
Para ver más detalles sobre la política, incluyendo la última versión del documento de política JSON, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## AWS Política administrada de: AWSQuickSetupEnableAREXExecutionPolicy
Esta política concede permisos administrativos que permiten a Systems Manager ejecutar el manual de procedimientos de Automatización `AWSQuickSetupType-EnableAREX`, que permite a Explorador de recursos de AWS el uso con Systems Manager. Resource Explorer permite ver los recursos de su cuenta con una experiencia de búsqueda similar a la de un motor de búsqueda de Internet. La política también otorga permisos para administrar los índices y vistas de Resource Explorer.
Puede adjuntar `AWSQuickSetupEnableAREXExecutionPolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `iam`: permite que las entidades principales creen un rol vinculado al servicio en el servicio de AWS Identity and Access Management (IAM).
+ `resource-explorer-2`: permite a las entidades principales recuperar información sobre vistas e índices de Resource Explorer; crear vistas e índices de Resource Explorer; y cambiar el tipo de índice de los índices que se muestran en Quick Setup.
Para ver más detalles sobre la política, incluyendo la última versión del documento de política JSON, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWSQuickSetupManagedInstanceProfileExecutionPolicy
Esta política concede permisos administrativos que permiten a Systems Manager crear un perfil de instancia de IAM predeterminado para la herramienta Quick Setup y adjuntarlo a las instancias de Amazon EC2 que aún no tienen un perfil de instancia adjuntado. La política también permite a Systems Manager adjuntar permisos a los perfiles de instancia existentes. Esto se hace para garantizar que están vigentes los permisos necesarios para que Systems Manager se comunique con SSM Agent en instancias de EC2.
Puede adjuntar `AWSQuickSetupManagedInstanceProfileExecutionPolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales iniciar los flujos de trabajo de automatización asociados a los procesos de Quick Setup.
+ `ec2`: permite a las entidades principales adjuntar perfiles de instancia de IAM a las instancias de EC2 administradas por Quick Setup.
+ `iam`: permite a las entidades principales crear, actualizar y recuperar información sobre los roles de IAM que se utilizan en los procesos de Quick Setup, crear perfiles de instancias de IAM y adjuntar la política administrada `AmazonSSMManagedInstanceCore` a los perfiles de instancia de IAM.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada por AWS: AWSQuickSetupManageJITNAResourcesExecutionPolicy
La política administrada `AWSQuickSetupManageJITNAResourcesExecutionPolicy` permite que Quick Setup, una herramienta de Systems Manager, configure el acceso a los nodos justo a tiempo.
Puede adjuntar `AWSQuickSetupManageJITNAResourcesExecutionPolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Con esta política, se conceden los permisos administrativos que avalan que Systems Manager cree recursos asociados al acceso a los nodos justo a tiempo.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite que las entidades principales obtengan y actualicen la configuración del servicio que especifica el proveedor de identidades para el acceso a los nodos justo a tiempo.
+ `iam`: permite que las entidades principales creen, etiqueten y obtengan roles, adjunten políticas de roles para las políticas administradas de acceso a los nodos justo a tiempo y creen roles vinculados al servicio para el acceso a los nodos justo a tiempo y las notificaciones.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada por AWS: AWSQuickSetupJITNADeploymentRolePolicy
La política administrada `AWSQuickSetupJITNADeploymentRolePolicy` permite que Quick Setup implemente el tipo de configuración necesario del acceso a los nodos justo a tiempo.
Puede adjuntar `AWSQuickSetupJITNADeploymentRolePolicy` a sus entidades de IAM. Systems Manager también adjunta esta política a un rol de servicio que permite a Systems Manager realizar acciones en su nombre.
Con esta política, se conceden los permisos administrativos que avalan que Systems Manager cree recursos asociados al acceso a los nodos justo a tiempo.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `cloudformation`: permite que las entidades principales creen, actualicen, eliminen y lean pilas de CloudFormation.
+ `ssm`: permite que las entidades principales creen, eliminen, actualicen y lean asociaciones de State Manager invocadas por CloudFormation.
+ `iam`: permite que las entidades principales creen, eliminen, lean y etiqueten los roles de IAM invocados por CloudFormation.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSQuickSetupJITNADeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada por AWS: AWSSystemsManagerJustInTimeAccessServicePolicy
La política administrada de `AWSSystemsManagerJustInTimeAccessServicePolicy` proporciona acceso a los recursos de AWS administrados o utilizados por el marco de acceso justo a tiempo de AWS Systems Manager. Esta actualización de la política añade permisos de etiquetado de ejecuciones de automatización para que los clientes puedan limitar los permisos de los operadores a determinadas etiquetas.
No puede adjuntar `AWSSystemsManagerJustInTimeAccessServicePolicy` a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte [Cómo utilizar roles para permitir el acceso a los nodos justo a tiempo](using-service-linked-roles-service-action-8.md).
Con esta política, se conceden los permisos administrativos que avalan el acceso a recursos asociados al acceso a los nodos justo a tiempo.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales crear y administrar OpsItems, añadir etiquetas a OpsItems y ejecuciones de automatización, obtener y actualizar OpsItems, recuperar y describir documentos, describir OpsItems y sesiones, y enumerar documentos y etiquetas para las instancias administradas.
+ `ssm-guiconnect`: permite que las entidades principales enumeren las conexiones.
+ `identitystore`: permite a las entidades principales obtener los ID de usuarios y grupos, describir usuarios y enumerar la pertenencia a grupos.
+ `sso-directory`: permite que las entidades principales describan usuarios y determinen si un usuario es miembro de un grupo.
+ `sso`: permite que las entidades principales describan las regiones registradas y enumeren las instancias y las asociaciones de directorios.
+ `cloudwatch`: permite que las entidades principales introduzcan datos métricos para el espacio de nombres `AWS/SSM/JustInTimeAccess`.
+ `ec2`: permite que las entidades principales describan las etiquetas.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada por AWS: AWSSystemsManagerJustInTimeAccessTokenPolicy
La política administrada `AWSSystemsManagerJustInTimeAccessTokenPolicy` proporciona permisos a los usuarios para establecer conexiones seguras con las instancias de Amazon EC2 y las instancias administradas a través de conexiones RDP de Session Manager y GUI Connect de Systems Manager como parte de los flujos de trabajo de acceso a nodos justo a tiempo.
Puede adjuntar `AWSSystemsManagerJustInTimeAccessTokenPolicy` a sus entidades de IAM.
Esta política concede permisos a los colaboradores que permiten que los usuarios inicien y administren sesiones seguras, establezcan conexiones RDP y realicen las operaciones criptográficas necesarias para el acceso a los nodos justo a tiempo.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite a las entidades principales iniciar sesiones de Session Manager en instancias de Amazon EC2 e instancias administradas mediante el documento SSM-SessionManagerRunshell. También permite terminar y reanudar las sesiones, recuperar los detalles de la invocación de comandos y enviar comandos a las instancias para la configuración del usuario del SSO cuando se llama a través de GUI Connect de Systems Manager. Además, permite iniciar sesiones de reenvío de puertos para conexiones RDP cuando se llama a través de GUI Connect de Systems Manager.
+ `ssmmessages`: permite a las entidades principales abrir canales de datos para una comunicación segura durante las sesiones de Session Manager.
+ `ssm-guiconnect`: permite que las entidades principales inicien, obtengan detalles y cancelen las conexiones RDP de GUI Connect de Systems Manager con las instancias.
+ `kms`: permite a las entidades principales generar claves de datos para el cifrado de Session Manager y crear concesiones para las conexiones RDP. Estos permisos están restringidos a las claves de AWS KMS etiquetadas con `SystemsManagerJustInTimeNodeAccessManaged=true`. Además, la creación de concesiones está restringida para que se utilice únicamente a través del servicio GUI Connect de Systems Manager.
+ `sso`: permite que las entidades principales enumeren las asociaciones de directorios cuando se llaman a través de GUI Connect de Systems Manager. Esto es necesario para la configuración de los usuarios para el SSO con RDP.
+ `identitystore`: permite a las entidades principales describir a los usuarios del almacén de identidades cuando se los llama a través de GUI Connect de Systems Manager. Esto es necesario para la configuración de los usuarios para el SSO con RDP.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada por AWS: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
La política administrada `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` permite que Systems Manager aplique permisos restringidos a un token de acceso a los nodos justo a tiempo.
Puede adjuntar `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` a sus entidades de IAM.
Con esta política, se conceden los permisos administrativos que avalan que Systems Manager restrinja los permisos para los tokens de acceso a los nodos justo a tiempo.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite que las entidades principales inicien sesiones de Session Manager utilizando el documento `SSM-SessionManagerRunShell`. Además, cuando se llaman primero a través de `ssm-guiconnect`, les permite iniciar sesiones utilizando el documento `AWS-StartPortForwardingSession`, listar invocaciones de comandos y enviar comandos con el documento `AWSSSO-CreateSSOUser`.
+ `ssm-guiconnect`: permite que las entidades principales cancelen, obtengan e inicien conexiones en todos los recursos.
+ `kms`: permite que las entidades principales creen concesiones y generen claves de datos para claves etiquetadas con `SystemsManagerJustInTimeNodeAccessManaged` cuando se llaman a través de `ssm-guiconnect` mediante un servicio de AWS.
+ `sso`: permite que las entidades principales enumeren las asociaciones de directorios cuando se llaman a través de `ssm-guiconnect`.
+ `identitystore`: permite que las entidades principales describan un usuario cuando se llaman a través de `ssm-guiconnect`.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada por AWS: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
La política administrada `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` permite que Systems Manager comparta las políticas de denegación de acceso desde la cuenta de administrador delegado con las cuentas de miembros y replique las políticas en varias Regiones de AWS.
Puede adjuntar `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` a sus entidades de IAM.
Con esta política, se conceden los permisos administrativos necesarios para que Systems Manager comparta y cree políticas de denegación de acceso. Esto garantiza que las políticas de denegación de acceso se apliquen a todas las cuentas de una organización de AWS Organizations y a las regiones configuradas para el acceso a los nodos justo a tiempo.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `ssm`: permite que las entidades principales administren los documentos y las políticas de recursos de SSM.
+ `ssm-quicksetup`: permite que las entidades principales lean los administradores de configuración de Quick Setup.
+ `organizations`: permite que las entidades principales enumeren detalles sobre una organización de AWS Organizations y los administradores delegados.
+ `ram`: permite que las entidades principales creen, etiqueten y describan recursos compartidos.
+ `iam`: permite que las entidades principales describan un rol de servicio.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada por AWS: AWSSystemsManagerNotificationsServicePolicy
La política administrada `AWSSystemsManagerNotificationsServicePolicy` permite que Systems Manager envíe notificaciones por correo electrónico para las solicitudes de acceso a los nodos justo a tiempo a los aprobadores de las solicitudes de acceso.
No puede adjuntar `AWSSystemsManagerJustInTimeAccessServicePolicy` a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Systems Manager realizar acciones en su nombre. Para obtener más información, consulte [Cómo utilizar roles para enviar notificaciones de solicitudes de acceso a los nodos justo a tiempo](using-service-linked-roles-service-action-9.md).
Con esta política, se conceden los permisos administrativos que permiten que Systems Manager envíe notificaciones por correo electrónico para las solicitudes de acceso a los nodos justo a tiempo a los aprobadores de las solicitudes de acceso.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `identitystore`: permite que las entidades principales enumeren y describan usuarios y la pertenencia a grupos.
+ `sso`: permite que las entidades principales enumeren instancias y directorios, y describan regiones registradas.
+ `sso-directory`: permite que las entidades principales describan usuarios y enumeren los miembros de un grupo.
+ `iam`: permite que las entidades principales obtengan información acerca de los roles.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWS-SSM-Automation-DiagnosisBucketPolicy
La política administrada `AWS-SSM-Automation-DiagnosisBucketPolicy` concede permisos para diagnosticar problemas en los nodos que interactúan con los servicios de AWS Systems Manager al permitir el acceso a los buckets de S3 que se utilizan para diagnosticar y solucionar problemas.
Puede asociar la política `AWS-SSM-Automation-DiagnosisBucketPolicy` a las identidades de IAM. Systems Manager también adjunta esta política a un rol de IAM que permite a Systems Manager realizar acciones de diagnóstico en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `s3`: permite a las entidades principales acceder y escribir objetos en un bucket de Amazon S3.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
La política administrada `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización.
Puede adjuntar `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` a las identidades de IAM. Systems Manager también adjunta esta política a un rol de IAM que permite a Systems Manager realizar acciones de diagnóstico en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `organizations`: permite a las entidades principales enumerar una raíz de la organización y obtener las cuentas de los miembros para determinar las de destino.
+ `sts`: permite a las entidades principales asumir roles de ejecución de correcciones para ejecutar los documentos de Automatización de SSM en todas las cuentas y regiones de la misma organización.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Política administrada de AWS: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
La política administrada `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización.
Puede asociar la política `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` a las identidades de IAM. Systems Manager también adjunta esta política a un rol de IAM que permite a Systems Manager realizar acciones de diagnóstico en su nombre.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `organizations`: permite a las entidades principales enumerar una raíz de la organización y obtener las cuentas de los miembros para determinar las de destino.
+ `sts`: permite a las entidades principales asumir roles de ejecución de diagnósticos para ejecutar los documentos de Automatización de SSM en todas las cuentas y regiones de la misma organización.
Para ver más detalles sobre la política, incluida la versión más reciente del documento de política JSON, consulte [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
## Actualizaciones de Systems Manager para las políticas administradas de AWS
La siguiente tabla muestra los detalles de las actualizaciones de las políticas administradas de AWS para Systems Manager debido a que este servicio comenzó a realizar el seguimiento de estos cambios el 12 de marzo de 2021. Para obtener información sobre otras políticas administradas para el servicio Systems Manager, consulte [Políticas administradas adicionales para Systems Manager](#policies-list) más adelante en este tema. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Systems Manager [Historial del documento](systems-manager-release-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AmazonssmautomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole): actualización de una política existente | Systems Manager agregó los permisos `cloudformation:TagResource` y `cloudformation:UntagResource`. Estos permisos permiten que los manuales de procedimientos de automatización que crean pilas de CloudFormation añadan y eliminen etiquetas de los recursos. | 20 de marzo de 2026 |
| [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy): política administrada actualizada | Systems Manager actualizó la política administrada para agregar permisos adicionales de EC2 y SSM para mejorar las capacidades de diagnóstico. La política ahora incluye permisos para describir el estado de las instancias de EC2 y las ACL de la red, así como las activaciones de SSM y la configuración del servicio, lo que proporciona información de diagnóstico más completa para solucionar los problemas de los nodos administrados. | 19 de diciembre de 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy): política administrada actualizada | Systems Manager ha actualizado la política administrada `AWSQuickSetupDeploymentRolePolicy` para agregar compatibilidad con dos documentos SSM adicionales: `AWSQuickSetupType-ConfigureDevOpsGuru` y `AWSQuickSetupType-DeployConformancePack`. Estas adiciones permiten a Quick Setup implementar configuraciones y paquetes de cumplimiento de DevOps Guru a través de la política. | 15 de diciembre de 2025 |
| [AWSSystemsManagerJustinTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy): actualización a una política existente | Systems Manager actualizó la política administrada `AWSSystemsManagerJustInTimeAccessTokenPolicy`. Se cambió el nombre de la declaración (`SID`) `TerminateAndResumeSession` a `TerminateAndResumeSessionAndOpenDataChannel` y ahora incluye la acción `ssmmessages:OpenDataChannel`, por lo que se combina la administración de sesiones y los permisos del canal de datos en una sola declaración. | 25 de septiembre de 2025 |
| Actualización de políticas administradas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/security-iam-awsmanpol.html) | Systems Manager actualizó tres políticas administradas para añadir soporte para iniciar ejecuciones de automatización en recursos adicionales de Systems Manager, incluidos manuales de procedimientos de automatización específicos y documentos de comandos SSM. | 12 de septiembre de 2025 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy): actualización de la política administrada | Systems Manager actualizó la política administrada para refinar los permisos para la configuración del programador de Quick Setup. La política ahora proporciona permisos más específicos para iniciar y detener instancias de Amazon EC2, acceder a los calendarios de cambios y ejecutar documentos de automatización con condiciones de seguridad mejoradas. | 12 de septiembre de 2025 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy): actualización de la política administrada | Systems Manager actualizó la política administrada para cambiar el documento de automatización de `AWSQuickSetupType-StartSSMAssociations` a `AWSQuickSetupType-Scheduler-ChangeCalendarState`. Esta actualización cambia el propósito de la política, que pasa de iniciar asociaciones de SSM a administrar los estados del calendario de cambios para las operaciones programadas. | 12 de septiembre de 2025 |
| [AmazonssmautomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole): actualización de una política existente | Systems Manager agregó nuevos permisos para permitir que los manuales de procedimientos de automatización establezcan canales de comunicación para las operaciones basadas en sesiones. Se agregó el permiso `ssmmessages:OpenDataChannel` para el recurso `arn:*:ssm:*:*:session/*`. | 11 de septiembre de 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy): política administrada actualizada | Systems Manager actualizó la política administrada para añadir permisos de etiquetado de ejecuciones de automatización. El servicio debe etiquetar las ejecuciones de automatización con una etiqueta `SystemsManagerJustInTimeNodeAccessManaged=true` para que los clientes puedan limitar los permisos de los operadores a determinadas etiquetas. | 25 de agosto de 2025 |
| [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy): nueva política | Systems Manager agregó una nueva política que permite a Quick Setup ejecutar el manual de procedimientos de `AWSQuickSetupType-StartSSMAssociations` Automation. Este manual de procedimientos se utiliza para iniciar las asociaciones de State Manager que se crean mediante las configuraciones de Quick Setup. | 12 de agosto de 2025 |
| [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy): nueva política | Systems Manager agregó una nueva política para permitir a Quick Setup iniciar y detener instancias de Amazon EC2 de forma programada. Esta política proporciona los permisos necesarios para que el tipo de configuración del programador Quick Setup administre el estado de las instancias en función de los cronogramas definidos. | 12 de agosto de 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy): actualización de la documentación | Systems Manager ha actualizado la política administrada de `AWSQuickSetupDeploymentRolePolicy` para conceder permisos para recursos adicionales. Además, se ha actualizado la documentación de `AWSQuickSetupDeploymentRolePolicy` con descripciones más detalladas de los permisos que concede esta política para las operaciones de administración de la configuración de Quick Setup. | 12 de agosto de 2025 |
| [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy): actualización de una política existente | Systems Manager actualizó la política administrada para mejorar la seguridad de la API ssm:StartAutomationExecution al exigir permisos tanto para los tipos de recursos de “document” como “automation-execution”. La política actualizada proporciona permisos más completos y detallados para la ejecución de la automatización de la remediación, incluidas descripciones mejoradas de las capacidades de remediación de redes, permisos de creación de puntos de conexión de Amazon VPC más específicos, permisos detallados de administración de grupos de seguridad y controles mejorados de etiquetado de recursos para las operaciones de remediación. | 16 de julio de 2025 |
| [AWS-SSM-RemediationAutomation-AdministrationPolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy): actualización a una política existente | Systems Manager actualizó la política administrada para respaldar las mejoras en la autorización de la API orientadas a las operaciones de automatización de la remediación. La política actualizada mejora los permisos para ejecutar las actividades definidas en los documentos de automatización, con controles de seguridad y patrones de acceso a los recursos mejorados para los flujos de trabajo de remediación. | 16 de julio de 2025 |
| [AWS-SSM-DiagnosisAutomation-ExecutionPolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy): actualización a una política existente | Systems Manager actualizó la política administrada para proporcionar permisos más detallados y precisos para la ejecución de la automatización del diagnóstico. La política actualizada incluye descripciones mejoradas para el acceso a los recursos de Amazon EC2 y Amazon VPC, permisos de automatización de SSM más específicos y descripciones de permisos de IAM y AWS KMS mejoradas con las restricciones de recursos adecuadas. | 16 de julio de 2025 |
| [AWS-SSM-DiagnosisAutomation-AdministrationPolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy): actualización a una política existente | Systems Manager actualizó la política administrada para proporcionar permisos y condiciones de seguridad más específicos para las operaciones de automatización del diagnóstico. La política actualizada proporciona controles de seguridad mejorados para el uso de claves de AWS KMS, el acceso a los buckets de Amazon S3 y las suposiciones de roles, con condiciones más estrictas basadas en los recursos y restricciones a nivel de cuenta. | 16 de julio de 2025 |
| [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy): actualización de una política | Systems Manager agregó permisos a la política administrada `AWSQuickSetupDeploymentRolePolicy` para acceder al manual de procedimientos [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content), propiedad de Amazon. Este permiso posibilita que Quick Setup cree asociaciones mediante el uso de la política administrada en lugar de políticas insertadas. | 14 de julio de 2025 |
| [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole): actualización de la documentación | Systems Manager agregó documentación exhaustiva para la política `AmazonSSMAutomationRole` existente, que proporciona permisos para que el servicio Automatización de Systems Manager ejecute las actividades definidas en los manuales de procedimientos de Automatización. | 15 de julio de 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): actualización de una política | Systems Manager agregó permisos para avalar que Systems Manager etiquete un recurso compartido por AWS Resource Access Manager para acceder a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): actualización de una política | Systems Manager agregó permisos para avalar que Systems Manager etiquete roles de IAM creados para el acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy): política nueva | Systems Manager agregó una política nueva que permite que Systems Manager aplique permisos restringidos a un token del acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy): política nueva | Systems Manager agregó una política nueva que permite que Systems Manager envíe notificaciones por correo electrónico para las solicitudes de acceso a los nodos justo a tiempo a los aprobadores de las solicitudes de acceso. | 30 de abril de 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): política nueva | Systems Manager agregó una política nueva que permite que Systems Manager replique las políticas de aprobación en diferentes regiones. | 30 de abril de 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy): política nueva | Systems Manager agregó una política nueva que permite que Systems Manager genere los tokens de acceso utilizados para el acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy): política nueva | Systems Manager agregó una política nueva para proporcionar permisos a los recursos de AWS que se administran o utilizan mediante la característica de acceso a los nodos justo a tiempo de Systems Manager. | 30 de abril de 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): política nueva | Systems Manager agregó una política nueva que permite que Quick Setup, una herramienta de Systems Manager, cree los roles de IAM necesarios para el acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy): política nueva | Systems Manager agregó una política nueva que concede los permisos que avalan que Quick Setup implemente el tipo de configuración necesario del acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): actualización de una política | Systems Manager agregó permisos para avalar que Systems Manager etiquete un recurso compartido por AWS Resource Access Manager para acceder a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): actualización de una política | Systems Manager agregó permisos para avalar que Systems Manager etiquete roles de IAM creados para el acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy): política nueva | Systems Manager agregó una política nueva que permite que Systems Manager aplique permisos restringidos a un token del acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy): política nueva | Systems Manager agregó una política nueva que permite que Systems Manager envíe notificaciones por correo electrónico para las solicitudes de acceso a los nodos justo a tiempo a los aprobadores de las solicitudes de acceso. | 30 de abril de 2025 |
| [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): política nueva | Systems Manager agregó una política nueva que permite que Systems Manager replique las políticas de aprobación en diferentes regiones. | 30 de abril de 2025 |
| [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy): política nueva | Systems Manager agregó una política nueva que permite que Systems Manager genere los tokens de acceso utilizados para el acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy): política nueva | Systems Manager agregó una política nueva para proporcionar permisos a los recursos de AWS que se administran o utilizan mediante la característica de acceso a los nodos justo a tiempo de Systems Manager. | 30 de abril de 2025 |
| [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): política nueva | Systems Manager agregó una política nueva que permite que Quick Setup, una herramienta de Systems Manager, cree los roles de IAM necesarios para el acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy): política nueva | Systems Manager agregó una política nueva que concede los permisos que avalan que Quick Setup implemente el tipo de configuración necesario del acceso a los nodos justo a tiempo. | 30 de abril de 2025 |
| [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy) – nueva política | Systems Manager agregó una nueva política administrada que concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización. | 21 de noviembre de 2024 |
| [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy) – nueva política | Systems Manager agregó una nueva política administrada que concede permisos para que una cuenta operativa diagnostique problemas con los nodos mediante permisos específicos de la organización. | 21 de noviembre de 2024 |
| [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) – nueva política | Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que diagnostican problemas con los nodos administrados en cuentas y regiones específicas. | 21 de noviembre de 2024 |
| [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – actualización de una política actual | Systems Manager agregó nuevos permisos que permiten a Explorador de recursos de AWS recopilar detalles sobre las instancias de Amazon EC2 y mostrar los resultados en los widgets del nuevo panel de Systems Manager. | 21 de noviembre de 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – actualización de una política actual | Systems Manager actualizó la política administrada SSMQuickSetupRolePolicy. Esta actualización permite que el rol AWSServiceRoleForSSMQuickSetup, asociado y vinculado al servicio, administre las sincronizaciones de los datos de los recursos. | 21 de noviembre de 2024 |
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) – nueva política | Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que diagnostican problemas con los nodos administrados en una cuenta y regiones específicas. | 21 de noviembre de 2024 |
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – nueva política | Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que diagnostican problemas con los nodos administrados en una región y cuenta de destino. | 21 de noviembre de 2024 |
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) – nueva política | Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que resuelven problemas con los nodos administrados en cuentas y regiones específicas. | 21 de noviembre de 2024 |
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) – nueva política | Systems Manager agregó una nueva política para permitir el inicio de flujos de trabajo de Automatización que resuelven problemas con los nodos administrados en una cuenta y región específicas. | 21 de noviembre de 2024 |
| [AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy): actualización de una política | Systems Manager agregó permisos para avalar que Systems Manager etiquete los roles de IAM y Lambda creados para la consola unificada. | 7 de mayo de 2025 |
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy) – nueva política | Systems Manager agregó una nueva política para respaldar la ejecución de una operación de Quick Setup que crea roles de IAM para las asociaciones de Quick Setup, que a su vez se crean mediante una implementación de AWSQuickSetupType-SSM. | 21 de noviembre de 2024 |
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy) – nueva política | Systems Manager agregó una nueva política para permitir que Quick Setup ejecute un recurso de CloudFormation personalizado en los eventos del ciclo de vida durante una implementación de Quick Setup. | 21 de noviembre de 2024 |
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) – nueva política | Systems Manager agregó una nueva política para admitir la concesión de permisos administrativos que permiten a Quick Setup crear recursos que se utilizan durante el proceso de incorporación de Systems Manager. | 21 de noviembre de 2024 |
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy) – nueva política | Systems Manager agregó una nueva política para admitir la administración y la recuperación de información sobre buckets específicos de la cuenta de la entidad principal que se administran con plantillas de CloudFormation. | 21 de noviembre de 2024 |
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy) – nueva política | Systems Manager presenta una nueva política que permite a Quick Setup crear un rol de IAM que, a su vez, utilice la política [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) existente. Esta política contiene todos los permisos necesarios para que SSM Agent se comunique con el servicio de Systems Manager. La nueva política también permite modificar la configuración del servicio de Systems Manager. | 21 de noviembre de 2024 |
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy) – nueva política | Systems Manager agregó una nueva política que permite que Quick Setup cree un rol vinculado al servicio de Explorador de recursos de AWS para acceder a las vistas y los índices de agregadores de Resource Explorer. | 21 de noviembre de 2024 |
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy) – nueva política | Systems Manager agregó una nueva política que permite a Quick Setup crear un perfil de instancia de Quick Setup predeterminado y adjuntarlo a cualquier instancia de Amazon EC2 que no tenga uno asociado. Esta nueva política también permite que Quick Setup adjunte permisos a los perfiles existentes para garantizar que se concedan todos los permisos necesarios de Systems Manager. | 21 de noviembre de 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – actualización de una política actual | Systems Manager agregó nuevos permisos para permitir a Quick Setup comprobar el estado de los conjuntos de pilas adicionales de AWS CloudFormation que ha creado. | 13 de agosto de 2024 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – actualización de una política actual | Systems Manager ha añadido identificadores de declaración (SID) a la política de JSON para AmazonSSMManagedEC2InstanceDefaultPolicy. Estos SID proporcionan descripciones en línea del propósito de cada declaración de política. | 18 de julio de 2024 |
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – nueva política | Systems Manager agregó una nueva política que permite a Quick Setup comprobar el estado de los recursos desplegados y corregir las instancias que se han desviado de la configuración original. | 3 de julio de 2024 |
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – política nueva | Systems Manager agregó una nueva política para admitir varios tipos de configuración de Configuración Rápida que crean roles y automatizaciones de IAM, que a su vez configuran servicios y características de Amazon Web Services de uso frecuente, mediante las prácticas recomendadas. | 3 de julio de 2024 |
| [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy) : política nueva | Systems Manager agregó una nueva política que permite a Quick Setup crear recursos asociados a las configuraciones de Patch Manager de las políticas de revisiones de Quick Setup. | 3 de julio de 2024 |
| [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess): nueva política | Systems Manager agregó una nueva política que permite a Quick Setup acceder a las líneas de base de revisiones en Patch Manager con permisos de solo lectura. | 3 de julio de 2024 |
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy): nueva política | Systems Manager agregó una nueva política que permite a Quick Setup conceder permisos administrativos para habiltiar Explorer. | 3 de julio de 2024 |
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy): nueva política | Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar el registro de la configuración de AWS Config. | 3 de julio de 2024 |
| [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary): nueva política | Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar Amazon DevOps Guru. | 3 de julio de 2024 |
| [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary): nueva política | Systems Manager agregó una nueva política para permitir que Quick Setup habilite y configure Distribuidor, una herramienta de AWS Systems Manager. | 3 de julio de 2024 |
| [AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary): nueva política | Systems Manager agregó una nueva política que permite que Quick Setup habilite y configure las herramientas de Systems Manager para administrar de forma segura las instancias de Amazon EC2. | 3 de julio de 2024 |
| [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary): nueva política | Systems Manager agregó una nueva política que permite que Quick Setup habilite y configure las políticas de revisiones en Patch Manager, una herramienta de AWS Systems Manager. | 3 de julio de 2024 |
| [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary): nueva política | Systems Manager agregó una nueva política que permite a Quick Setup habilitar y configurar las operaciones programadas en las instancias de Amazon EC2 y otros recursos. | 3 de julio de 2024 |
| [AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary): nueva política | Systems Manager agregó una nueva política que permite a Quick Setup implementar paquetes de conformidad con AWS Config. | 3 de julio de 2024 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – actualización de una política actual | OpsCenter actualizó la política para mejorar la seguridad del código de servicio dentro del rol vinculado al servicio para que Explorer administre las operaciones relacionadas con OPSData. | 3 de julio de 2023 |
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – nueva política | Systems Manager agregó una política nueva para permitir la funcionalidad de Systems Manager en las instancias de Amazon EC2 sin necesidad de usar un perfil de instancia de IAM. | 18 de agosto de 2022 |
| [AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy): actualización a una política existente. | Systems Manager agregó nuevos permisos para permitir a Explorer crear una regla administrada cuando active Security Hub CSPM desde Explorer o OpsCenter. Se agregaron nuevos permisos para verificar que la configuración y el optimizador de computación cumplen con los requisitos necesarios antes de permitir OpsData. | 27 de abril de 2021 |
| [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – nueva política | Systems Manager agregó una política nueva para crear y actualizar OpsItems y OpsData desde resultados de Security Hub CSPM en Explorer y OpsCenter. | 27 de abril de 2021 |
| `AmazonSSMServiceRolePolicy`: actualización de una política actual | Systems Manager agregó nuevos permisos para permitir la visualización de detalles agregados de OpsData y OpsItems de varias cuentas y Regiones de AWS en Explorer. | 24 de marzo de 2021 |
| Systems Manager comenzó el seguimiento de los cambios. | Systems Manager comenzó el seguimiento de los cambios de las políticas administradas de AWS. | 12 de marzo de 2021 |
## Políticas administradas adicionales para Systems Manager
Además de las políticas administradas antes mencionadas en este tema, Systems Manager también admite las siguientes políticas.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html) – AWS política administrada por que permite el acceso para ver ejecuciones de automatización y enviar decisiones de aprobación de automatización en espera de aprobación.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html): política administrada por AWS que permite a SSM Agent acceder a Directory Service en nombre del usuario para realizar solicitudes de unión al dominio por parte del nodo administrado.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html): política administrada por AWS que concede acceso total a la API y los documentos de Systems Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html) – AWS política administrada por que proporciona periodos de mantenimiento con permisos para la API de Systems Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) – AWS política administrada de Systems Manager que permite que un nodo utilice la funcionalidad básica del servicio .
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html) – AWS política administrada por que proporciona acceso a las instancias secundarias para realizar la asociación de revisiones.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html): política administrada por AWS que concede acceso a operaciones de la API de solo lectura de Systems Manager, como `Get*` y `List*`.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html): política administrada por AWS que proporciona permisos para crear y actualizar información operativa de *OpsItems* en Systems Manager. Se utiliza para proporcionar permisos a través del rol vinculado al servicio [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md).
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html): política administrada por AWS que concede a Systems Manager permiso para descubrir la información de la Cuenta de AWS.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html) – Esta política ya no se admite y no debe utilizarse. En su lugar, utilice la política `AmazonSSMManagedInstanceCore` para permitir la funcionalidad principal del servicio de Systems Manager en las instancias EC2. Para obtener información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md).
# Solución de problemas de identidades de AWS Systems Manager y accesos
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con AWS Systems Manager y AWS Identity and Access Management (IAM).
**Topics**
+ [No tengo autorización para realizar una acción en Systems Manager](#security_iam_troubleshoot-no-permissions)
+ [No tengo autorización para realizar la operación iam:PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir a personas externas a mi Cuenta de AWS el acceso a mis recursos de Systems Manager](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en Systems Manager
Si la Consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción, debe ponerse en contacto con su gestionador para recibir ayuda. El gestionador es la persona que le proporcionó las credenciales de inicio de sesión.
En el siguiente ejemplo, el error se produce cuando el usuario, `mateojackson`, intenta utilizar la consola para ver detalles sobre un documento, pero no tiene permisos `ssm:GetDocument`.
```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `MyExampleDocument` mediante la acción `ssm:GetDocument`.
## No tengo autorización para realizar la operación iam:PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a Systems Manager.
Algunos Servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de crear un nuevo rol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Systems Manager. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su administrador de AWS. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir a personas externas a mi Cuenta de AWS el acceso a mis recursos de Systems Manager
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso (ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para obtener información acerca de si Systems Manager admite estas características, consulte [Cómo funciona AWS Systems Manager con IAM](security_iam_service-with-iam.md).
+ Para obtener información acerca de cómo proporcionar acceso a los recursos de las Cuenta de AWS de su propiedad, consulte [Proporcionar acceso a un usuario de IAM a otra Cuentas de AWS de la que es propietario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) en la *Guía del usuario de IAM*.
+ Para obtener información acerca de cómo proporcionar acceso a sus recursos a Cuentas de AWS de terceros, consulte [Proporcionar acceso a Cuentas de AWS que son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la *Guía del usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Cómo utilizar roles vinculados a servicios de Systems Manager
AWS Systems Manager utiliza [roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Systems Manager. Los roles vinculados a servicios están predefinidos por Systems Manager e incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre.
**nota**
Un *rol de servicio* es diferente de un rol vinculado a servicio. Un rol de servicio es un tipo de rol de AWS Identity and Access Management (IAM) que concede permisos a un Servicio de AWS para que pueda acceder a recursos de AWS. Solo unos pocos casos de Systems Manager requieren un rol de servicio. Cuando cree un rol de servicio para Systems Manager, puede elegir los permisos que va a conceder para que pueda acceder a otros recursos de AWS o pueda interactuar con ellos.
Con un rol vinculado a servicios, resulta más sencillo configurar Systems Manager, porque no es preciso agregar los permisos necesarios manualmente. Systems Manager define los permisos de los roles vinculados con su propio servicio y, a menos que esté definido de otra manera, solo Systems Manager puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede adjuntar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Systems Manager, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
**nota**
Para los nodos que no son de EC2 en un entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types), necesita disponer un rol de IAM adicional que permita a las máquinas comunicarse con el servicio de Systems Manager. Esta es la rol de servicio de IAM para Systems Manager. Este rol concede a AWS Security Token Service (AWS STS) la confianza *AssumeRole* para el servicio Systems Manager. La acción `AssumeRole` devuelve un conjunto de credenciales de seguridad temporales (consistente en un ID de clave de acceso, una clave de acceso secreta y un token de seguridad). Estas credenciales temporales se usan para obtener acceso a recursos de AWS a los que normalmente no tendría acceso. Para obtener más información, consulte [Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube](hybrid-multicloud-service-role.md) y [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) en la *[Referencia de la API de AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/)*.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Uso de roles para recopilar datos de inventario y ver OpsData](using-service-linked-roles-service-action-1.md)
+ [Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer](using-service-linked-roles-service-action-2.md)
+ [Uso de roles para crear OpsData y OpsItems para Explorer](using-service-linked-roles-service-action-3.md)
+ [Uso de roles para crear OpsItems con información operativa en Systems Manager OpsCenter](using-service-linked-roles-service-action-4.md)
+ [Uso de roles para mantener el estado y la consistencia de los recursos aprovisionados de Quick Setup](using-service-linked-roles-service-action-5.md)
+ [Uso de roles para exportar OpsData de Explorer](using-service-linked-roles-service-action-6.md)
+ [Cómo utilizar roles para permitir el acceso a los nodos justo a tiempo](using-service-linked-roles-service-action-8.md)
+ [Cómo utilizar roles para enviar notificaciones de solicitudes de acceso a los nodos justo a tiempo](using-service-linked-roles-service-action-9.md)
# Uso de roles para recopilar datos de inventario y ver OpsData
Systems Manager utiliza el rol vinculado a servicio denominado **`AWSServiceRoleForAmazonSSM`**. AWS Systems Manager utiliza este rol de servicio de IAM para administrar recursos de AWS en su nombre.
## Permisos de roles vinculados al servicio de inventario, OpsData y OpStems
El rol vinculado a servicio `AWSServiceRoleForAmazonSSM` solo confía en `ssm.amazonaws.com` para asumir este rol.
Puede utilizar el rol vinculado a servicio de Systems Manager `AWSServiceRoleForAmazonSSM` para lo siguiente:
+ La herramienta Inventario de Systems Manager utiliza el rol vinculado a servicios `AWSServiceRoleForAmazonSSM` para recopilar metadatos de inventario de etiquetas y grupos de recursos.
+ La herramienta Explorer utiliza el rol vinculado a servicios `AWSServiceRoleForAmazonSSM` para habilitar la visualización de OpsData y OpsItems de varias cuentas. Este rol vinculado a servicios también permite a Explorer crear una regla administrada cuando activa a Security Hub CSPM como origen de datos desde Explorer o OpsCenter.
**importante**
Antes, la consola de Systems Manager ofrecía la posibilidad de elegir el rol vinculado a servicio de IAM `AWSServiceRoleForAmazonSSM` administrado de AWS que utilizar como rol de mantenimiento para las tareas. Ya no se recomienda utilizar este rol y su política asociada, `AmazonSSMServiceRolePolicy`, para tareas de periodo de mantenimiento. Si está utilizando actualmente este rol para tareas de periodo de mantenimiento, le recomendamos que deje de hacerlo. En su lugar, cree su propio rol de IAM que permita la comunicación entre Systems Manager y otros Servicios de AWS cuando se ejecuten las tareas de periodo de mantenimiento.
Para obtener más información, consulte [Configuración de Maintenance Windows](setting-up-maintenance-windows.md).
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForAmazonSSM` es `AmazonSSMServiceRolePolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada de AWS: AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy).
## Creación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM` de Systems Manager
Puede utilizar la consola de IAM para crear un rol vinculado a servicios con el caso de uso de **EC2**. El uso de comandos para IAM en la AWS Command Line Interface (AWS CLI) o mediante la API de IAM, crea un rol vinculado a servicios con el nombre de servicio `ssm.amazonaws.com`. Para obtener más información, consulte [Creating a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.
## Modificación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM` de Systems Manager
Si ya no necesita utilizar ninguna característica ni ningún servicio que requiera un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Puede utilizar la consola de IAM, la AWS CLI o la API de IAM para eliminar manualmente el rol vinculado a servicios. Para ello, primero debe limpiar manualmente los recursos del rol vinculado a servicio y, a continuación, eliminarlo manualmente.
Dado que al rol vinculado a servicios `AWSServiceRoleForAmazonSSM` lo pueden utilizar varias herramientas, asegúrese de que ninguna de ellas esté utilizando el rol antes de intentar eliminarlo.
+ **Inventario**: si elimina el rol vinculado a servicios utilizado por la herramienta Inventario, los datos de Inventario relacionados con las etiquetas y los grupos de recursos dejarán de estar sincronizados. Debe limpiar los recursos del rol vinculado a servicio antes de eliminarlo manualmente.
+ **Explorer:** si elimina el rol vinculado a servicios utilizado por la herramienta Explorer, OpsData y OpsItems entre cuentas y entre regiones ya no son visibles.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando se intentan eliminar etiquetas o grupos de recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de Systems Manager que se utilizan en `AWSServiceRoleForAmazonSSM`**
1. Para eliminar etiquetas, consulte [Add and delete tags on an individual resource](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) (Adición y eliminación de etiquetas en un recurso individual).
1. Para eliminar grupos de recursos, consulte [Eliminación de grupos de Grupos de recursos de AWS](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).
**Para eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForAmazonSSM` mediante IAM**
Utilice la consola de IAM, la AWS CLI o la API de IAM para eliminar el rol vinculado a servicios `AWSServiceRoleForAmazonSSM`. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForAmazonSSM` de Systems Manager
Systems Manager admite el uso del rol vinculado al servicio `AWSServiceRoleForAmazonSSM` en todas las Regiones de AWS en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer
Systems Manager utiliza el rol vinculado al servicio denominado **`AWSServiceRoleForAmazonSSM_AccountDiscovery`**. AWS Systems Manager utiliza este rol de servicio de IAM para llamar a otros Servicios de AWS con objeto de descubrir información sobre la Cuenta de AWS.
## Permisos de roles vinculados al servicio de detección de cuentas de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` depende de los siguientes servicios para asumir el rol:
+ `accountdiscovery.ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Debe crear un rol vinculado a servicios si desea utilizar Explorer y OpsCenter, herramientas de Systems Manager, en varias Cuentas de AWS. En OpsCenter, debe crear manualmente un rol vinculado a servicios. Para obtener más información, consulte [(Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas](OpsCenter-getting-started-multiple-accounts.md).
En Explorer, si crea una sincronización de datos de recursos mediante Systems Manager en la Consola de administración de AWS, puede crear el rol vinculado a servicios mediante la elección del botón **Create role** (Crear rol). Si desea crear una sincronización de datos de recursos mediante programación, debe crear el rol antes de crear la sincronización de datos de recursos. Puede crear el rol con la operación [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) de la API.
## Modificación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpieza del rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Para poder utilizar IAM con objeto de eliminar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`, antes debe eliminar todas las sincronizaciones de datos del recurso de Explorer.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
### Eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios de `AWSServiceRoleForAmazonSSM_AccountDiscovery`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Systems Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
## Actualizaciones del rol vinculado al servicio de AWSServiceRoleForAmazonSSM\$1AccountDiscovery
Puede consultar los detalles sobre las actualizaciones del rol vinculado al servicio de AWSServiceRoleForAmazonSSM\$1AccountDiscovery, ya que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Systems Manager [Historial del documento](systems-manager-release-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Nuevos permisos agregados | Este rol vinculado a servicios ahora incluye los permisos `organizations:DescribeOrganizationalUnit` y `organizations:ListRoots`. Estos permisos habilitan a una cuenta de administración de AWS Organizations o a una cuenta de administrador delegado de Systems Manager a trabajar con OpsItems en varias cuentas. Para obtener más información, consulte [(Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas](OpsCenter-getting-started-multiple-accounts.md). | 17 de octubre de 2022 |
# Uso de roles para crear OpsData y OpsItems para Explorer
Systems Manager usa el rol vinculado a servicio denominado **`AWSServiceRoleForSystemsManagerOpsDataSync`**. AWS Systems Manager usa este rol de servicio de IAM para que Explorer cree OpsData y OpsItems.
## Permisos de roles vinculados al servicio de sincronización de OpsData de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` depende de los siguientes servicios para asumir el rol:
+ `opsdatasync.ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ Systems Manager Explorer requiere que un rol vinculado al servicio otorgue permiso para actualizar un resultado de seguridad cuando se actualiza un OpsItem, que cree y actualice un OpsItem y que desactive el origen de datos de Security Hub CSPM cuando los clientes eliminen una regla administrada por SSM.
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForSystemsManagerOpsDataSync` es `AWSSystemsManagerOpsDataSyncServiceRolePolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada por AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
No necesita crear manualmente un rol vinculado a servicios. Cuando se habilita Explorer en la Consola de administración de AWS, Systems Manager se encarga de crear el rol vinculado a servicio.
**importante**
Este rol vinculado a servicios se puede mostrar en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio de Systems Manager antes del 1 de enero de 2017, cuando comenzó a admitir los roles vinculados a servicios, Systems Manager creó el rol `AWSServiceRoleForSystemsManagerOpsDataSync` en su cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando se habilita Explorer en la Consola de administración de AWS, Systems Manager se encarga de volver a crear el rol vinculado a servicio.
También puede utilizar la consola de IAM para crear un rol vinculado a servicios con el caso de uso del **rol de servicio de AWS que permite que Explorer cree OpsData y OpsItems**. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio `opsdatasync.ssm.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
El procedimiento para eliminar los recursos de Systems Manager que utiliza el rol `AWSServiceRoleForSystemsManagerOpsDataSync` depende de si ha configurado Explorer o OpsCenter para integrarse en Security Hub CSPM.
**Para eliminar los recursos de Systems Manager que se utiliza el rol `AWSServiceRoleForSystemsManagerOpsDataSync`**
+ Para impedir que Explorer cree nuevos OpsItems para los resultados de Security Hub CSPM, consulte [Cómo dejar de recibir resultados](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive).
+ Para evitar que OpsCenter cree nuevos resultados de OpsItems para Security Hub CSPM, consulte
**Para eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` mediante IAM**
Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de `AWSServiceRoleForSystemsManagerOpsDataSync`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
Systems Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
Systems Manager no admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Puede usar el rol `AWSServiceRoleForSystemsManagerOpsDataSync` en las siguientes regiones.
****
| Región de AWSNombre de | Identidad de la región | Compatibilidad en Systems Manager |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (US) | us-gov-west-1 | No |
# Uso de roles para crear OpsItems con información operativa en Systems Manager OpsCenter
Systems Manager utiliza el rol vinculado a servicio denominado **`AWSServiceRoleForAmazonSSM_OpsInsights`**. AWS Systems Manager utiliza este rol de servicio de IAM para crear y actualizar OpsItems con información operativa en OpsCenter de Systems Manager.
## Permisos de roles vinculados al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` para OpsItems de información operativa de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` depende de los siguientes servicios para asumir el rol:
+ `opsinsights.ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Debe crear un rol vinculado a servicios. Si habilita información operativa mediante Systems Manager en la Consola de administración de AWS, puede crear el rol vinculado a servicios mediante la elección del botón **Enable** (Habilitar).
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Systems Manager no le permite editar la función vinculada al servicio `AWSServiceRoleForAmazonSSM_OpsInsights`. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpieza del rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_OpsInsights`
Para poder utilizar IAM con objeto de eliminar el rol vinculado a servicio `AWSServiceRoleForAmazonSSM_OpsInsights`, antes debe desactivar la información operativa en Systems Manager OpsCenter. Para obtener más información, consulte [Análisis de la información operativa para reducir OpsItems](OpsCenter-working-operational-insights.md).
### Eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights`
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios de `AWSServiceRoleForAmazonSSM_OpsInsights`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Systems Manager no permite el uso de los roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Puede utilizar el rol AWSServiceRoleForAmazonSSM\$1OpsInsights en las siguientes regiones.
****
| Nombre de la región | Identidad de la región | Compatibilidad en Systems Manager |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| AWS GovCloud (US) | us-gov-west-1 | Sí |
| AWS GovCloud (US) | us-gov-east-1 | Sí |
# Uso de roles para mantener el estado y la consistencia de los recursos aprovisionados de Quick Setup
Systems Manager usa el rol vinculado a servicios denominado **`AWSServiceRoleForSSMQuickSetup`**.
## Permisos de roles vinculados a servicios de `AWSServiceRoleForSSMQuickSetup` para Systems Manager
El rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` depende de los siguientes servicios para asumir el rol:
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager utiliza este rol de servicio de IAM para comprobar el estado de la configuración, garantizar el uso consistente de los parámetros y los recursos aprovisionados y corregir los recursos cuando se detecta una desviación.
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `ssm` (Systems Manager): lee información sobre el estado en el que deben estar los recursos configurados, incluso en cuentas de administrador delegado.
+ `iam` (AWS Identity and Access Management): esto es necesario para que las sincronizaciones de datos de recursos sean accesibles en todas las organizaciones de AWS Organizations.
+ `organizations` (AWS Organizations): lee información sobre las cuentas de los miembros que pertenecen a una organización, tal como se configuró en Organizaciones.
+ `cloudformation` (CloudFormation): lee información sobre las pilas de CloudFormation que se utilizan para administrar el estado de los recursos y las operaciones de los conjuntos de pilas de CloudFormation.
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForSSMQuickSetup` es `SSMQuickSetupRolePolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada de AWS: SSMQuickSetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` de Systems Manager
No es necesario crear de forma manual el rol vinculado al servicio AWSServiceRoleForSSMQuickSetup. Cuando crea una configuración de Quick Setup en la Consola de administración de AWS, Systems Manager crea el rol vinculado a servicios por usted.
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` de Systems Manager
Systems Manager no le permite editar la función vinculada al servicio `AWSServiceRoleForSSMQuickSetup`. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpieza del rol vinculado al servicio de `AWSServiceRoleForSSMQuickSetup`
Para poder utilizar IAM para eliminar el rol vinculado al servicio de `AWSServiceRoleForSSMQuickSetup`, primero debe eliminar las configuraciones de Quick Setup que utilizan el rol. Para obtener más información, consulte [Edición y eliminación de la configuración](quick-setup-using.md#quick-setup-edit-delete).
### Eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup`
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios de `AWSServiceRoleForSSMQuickSetup`. Para obtener más información, consulte los temas siguientes:
+ [Eliminación de un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html) en la sección Quick Setup en la *Referencia de la AWS CLI*
+ [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html) en la *Referencia de la API de Quick Setup*
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` de Systems Manager
Systems Manager no permite el uso de los roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Puede utilizar el rol AWSServiceRoleForSSMQuickSetup en las siguientes regiones.
+ Este de EE. UU. (Ohio)
+ Este de EE. UU. (Norte de Virginia)
+ Oeste de EE. UU. (Norte de California)
+ Oeste de EE. UU. (Oregón)
+ Asia-Pacífico (Bombay)
+ Asia-Pacífico (Seúl)
+ Asia-Pacífico (Singapur)
+ Asia-Pacífico (Sídney)
+ Asia-Pacífico (Tokio)
+ Canadá (centro)
+ Europa (Fráncfort)
+ Europa (Estocolmo)
+ Europa (Irlanda)
+ Europa (Londres)
+ Europa (París)
+ América del Sur (São Paulo)
# Uso de roles para exportar OpsData de Explorer
AWS Systems Manager Explorer utiliza el rol de servicio **AmazonSSMExplorerExportRole** para exportar los datos de operaciones (OpsData) mediante el manual de procedimientos de automatización `AWS-ExportOpsDataToS3`.
## Permisos de roles vinculados a servicios de Explorer
El rol vinculado a servicio `AmazonSSMExplorerExportRole` solo confía en `ssm.amazonaws.com` para asumir este rol.
Puede usar el rol vinculado a servicio `AmazonSSMExplorerExportRole` para exportar los datos de operaciones (OpsData) mediante el manual de procedimientos de automatización `AWS-ExportOpsDataToS3`. Puede exportar 5000 elementos OpsData de Explorer como un archivo de valores separados por comas (.csv) a un bucket de Amazon Simple Storage Service (Amazon S3).
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AmazonSSMExplorerExportRole` de Systems Manager
Systems Manager crea el rol vinculado a servicio `AmazonSSMExplorerExportRole` cuando se exportan OpsData mediante Explorer en la consola de Systems Manager. Para obtener más información, consulte [Exportación de OpsData desde Systems Manager Explorer](Explorer-exporting-OpsData.md).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.
## Modificación del rol vinculado al servicio `AmazonSSMExplorerExportRole` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AmazonSSMExplorerExportRole`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación del rol vinculado al servicio `AmazonSSMExplorerExportRole` de Systems Manager
Si ya no necesita utilizar ninguna característica ni ningún servicio que requiera un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Puede utilizar la consola de IAM, la AWS CLI o la API de IAM para eliminar manualmente el rol vinculado a servicios. Para ello, primero debe limpiar manualmente los recursos del rol vinculado a servicio y, a continuación, eliminarlo manualmente.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando se intentan eliminar etiquetas o grupos de recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de Systems Manager que se utilizan en `AmazonSSMExplorerExportRole`**
1. Para eliminar etiquetas, consulte [Add and delete tags on an individual resource](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) (Adición y eliminación de etiquetas en un recurso individual).
1. Para eliminar grupos de recursos, consulte [Eliminación de grupos de Grupos de recursos de AWS](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).
**Para eliminar manualmente el rol vinculado al servicio `AmazonSSMExplorerExportRole` mediante IAM**
Utilice la consola de IAM, la AWS CLI o la API de IAM para eliminar el rol vinculado a servicios `AmazonSSMExplorerExportRole`. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AmazonSSMExplorerExportRole` de Systems Manager
Systems Manager admite el uso del rol vinculado al servicio `AmazonSSMExplorerExportRole` en todas las Regiones de AWS en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Cómo utilizar roles para permitir el acceso a los nodos justo a tiempo
Systems Manager utiliza el rol vinculado a un servicio denominado **`AWSServiceRoleForSystemsManagerJustInTimeAccess`**. AWS Systems Manager utiliza este rol de servicio de IAM para habilitar el acceso a los nodos justo a tiempo.
## Permisos de roles vinculados a un servicio para el acceso a los nodos justo a tiempo de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` depende de los siguientes servicios para asumir el rol:
+ `ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForSystemsManagerJustInTimeAccess` es `AWSSystemsManagerEnableJustInTimeAccessPolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada por AWS: AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
No necesita crear manualmente un rol vinculado a servicios. Cuando habilita el acceso a los nodos justo a tiempo en la Consola de administración de AWS, Systems Manager crea el rol vinculado a un servicio por usted.
**importante**
Este rol vinculado a servicios se puede mostrar en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio de Systems Manager antes del 19 de noviembre de 2024, cuando comenzó a admitir los roles vinculados a un servicio, Systems Manager creó el rol `AWSServiceRoleForSystemsManagerJustInTimeAccess` en su cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando habilita el acceso a los nodos justo a tiempo en la Consola de administración de AWS, Systems Manager se encarga de volver a crear el rol vinculado al servicio.
También puede utilizar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso en el que el **rol de servicio de AWS permite que Systems Manager habilite el acceso a los nodos justo a tiempo**. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio `ssm.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` mediante IAM**
Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de `AWSServiceRoleForSystemsManagerJustInTimeAccess`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
****
| Región de AWSNombre de | Identidad de la región | Compatibilidad en Systems Manager |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (US) | us-gov-west-1 | No |
# Cómo utilizar roles para enviar notificaciones de solicitudes de acceso a los nodos justo a tiempo
Systems Manager utiliza el rol vinculado al servicio denominado **`AWSServiceRoleForSystemsManagerNotifications`**. AWS Systems Manager utiliza este rol de servicio de IAM para enviar notificaciones a los aprobadores de las solicitudes de acceso.
## Permisos de roles vinculados a un servicio para las notificaciones de acceso a los nodos justo a tiempo de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` depende de los siguientes servicios para asumir el rol:
+ `ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForSystemsManagerNotifications` es `AWSSystemsManagerNotificationsServicePolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada por AWS: AWSSystemsManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
No necesita crear manualmente un rol vinculado a servicios. Cuando habilita el acceso a los nodos justo a tiempo en la Consola de administración de AWS, Systems Manager crea el rol vinculado a un servicio por usted.
**importante**
Este rol vinculado a servicios se puede mostrar en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio de Systems Manager antes del 19 de noviembre de 2024, cuando comenzó a admitir los roles vinculados a un servicio, Systems Manager creó el rol `AWSServiceRoleForSystemsManagerNotifications` en su cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando habilita el acceso a los nodos justo a tiempo en la Consola de administración de AWS, Systems Manager se encarga de volver a crear el rol vinculado al servicio.
También puede utilizar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso en el que el **rol de servicio de AWS permite que Systems Manager envíe notificaciones sobre el acceso a los aprobadores de las solicitudes**. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio `ssm.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` mediante IAM**
Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de `AWSServiceRoleForSystemsManagerNotifications`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
****
| Región de AWSNombre de | Identidad de la región | Compatibilidad en Systems Manager |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (US) | us-gov-west-1 | No |
# Registro y monitorización en AWS Systems Manager
La supervisión es un aspecto importante a la hora de mantener la fiabilidad, la disponibilidad y el rendimiento de AWS Systems Manager y de las soluciones de AWS. Debe recopilar datos de monitoreo de todas las partes de su solución de AWS para que pueda depurar un error multipunto si se produce. AWS proporciona varias herramientas para monitorear sus recursos de Systems Manager y otros recursos, y responder a posibles incidentes.
**AWS CloudTrailRegistros de **
CloudTrail proporciona un registro de las acciones que realiza un usuario, un rol o un Servicio de AWS en Systems Manager. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Systems Manager, la dirección IP desde la que se realizó, quién la realizó y cuándo, etc. Para obtener más información, consulte [Registro de llamadas a la API de AWS Systems Manager con AWS CloudTrail](monitoring-cloudtrail-logs.md).
**Alarmas de Amazon CloudWatch**
Las alarmas de Amazon CloudWatch permiten vigilar una sola métrica durante un periodo que especifique para las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y otros recursos. Si la métrica supera un límite determinado, se envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) o a una política de AWS Auto Scaling. Las alarmas de CloudWatch no invocan acciones porque se encuentren en un estado particular. En su lugar, el estado debe haber cambiado y debe mantenerse durante el número de periodos especificado. Para obtener más información, consulte [Uso de las alarmas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del usuario de Amazon CloudWatch*.
**Paneles de Amazon CloudWatch**
Los paneles de CloudWatch son páginas de inicio personalizables en la consola de CloudWatch que puede utilizar para monitorear sus recursos en una vista única, incluso aquellos que se reparten entre diferentes Regiones de AWS. Puede utilizar los paneles de CloudWatch para crear vistas personalizadas de las métricas y las alarmas para sus recursos de AWS. Para obtener más información, consulte [Uso de paneles de Amazon CloudWatch alojados por Systems Manager](systems-manager-cloudwatch-dashboards.md).
**Amazon EventBridge**
Con Amazon EventBridge, puede configurar reglas para recibir una alerta de los cambios que se produzcan en los recursos de Systems Manager y para dirigir a EventBridge para que realice acciones basadas en el contenido de esos eventos. EventBridge admite una serie de eventos emitidos por varias herramientas de Systems Manager. Para obtener más información, consulte [Cómo monitorear eventos de Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md).
**Registros de SSM Agent y Amazon CloudWatch Logs**
SSM AgentEl escribe información acerca de ejecuciones, acciones programadas, errores y estados en los archivos de registro en cada nodo. Puede ver archivos de registro conectándose manualmente a un nodo. Se recomienda enviar automáticamente los datos de registro del agente a un grupo de registros de CloudWatch Logs para su análisis. Para obtener más información, consulte [Envío de registros de nodos a los Registros de CloudWatch (agente de CloudWatch) unificado](monitoring-cloudwatch-agent.md) y [Visualización de registros de SSM Agent](ssm-agent-logs.md).
**AWS Systems ManagerCumplimiento de **
Puede utilizar Cumplimiento, una herramienta de AWS Systems Manager, para analizar la flota de nodos administrados en busca de cumplimiento de revisiones e incoherencias de configuración. Puede recopilar y agregar datos de varias Cuentas de AWS y Regiones de AWS, y luego desglosarlas en recursos específicos que no sean conformes. De forma predeterminada, Cumplimiento muestra datos de cumplimiento actuales sobre la aplicación de revisiones en Patch Manager, una herramienta de AWS Systems Manager, y asociaciones en State Manager, una herramienta de AWS Systems Manager. Para obtener más información, consulte [Conformidad de AWS Systems Manager](systems-manager-compliance.md).
**AWS Systems Manager Explorer**
Explorer, una herramienta de AWS Systems Manager, es un panel de operaciones personalizable que transmite información sobre sus recursos de AWS. Explorer muestra una vista agregada de los datos de operaciones (OpsData) de sus Cuentas de AWS y en todas las Regiones de AWS. En Explorer, OpsData incluye metadatos sobre instancias EC2, detalles de conformidad de revisiones y elementos de trabajo operativos (OpsItems). Explorer proporciona un contexto sobre cómo OpsItems se distribuyen entre las unidades de negocio o las aplicaciones, cómo se presentan a lo largo del tiempo y cómo varían según la categoría. Puede agrupar y filtrar la información en Explorer para centrarse en los elementos que son relevantes para usted y que requieren que se tomen medidas. Para obtener más información, consulte [AWS Systems Manager Explorer](Explorer.md).
**AWS Systems Manager OpsCenter**
OpsCenter, una herramienta de AWS Systems Manager, proporciona una ubicación central en la que los ingenieros de operaciones y los profesionales de TI pueden ver, investigar y resolver elementos de trabajo operativos (OpsItems) relacionados con los recursos de AWS. OpsCenter agrega y estandariza OpsItems en todos los servicios, al tiempo que proporciona datos de investigación contextuales sobre cada OpsItem, OpsItems relacionados y recursos relacionados. OpsCenter también proporciona manuales de procedimientos de Automatización, una herramienta de AWS Systems Manager, que puede utilizar para resolver problemas rápidamente. OpsCenter se integra a Amazon EventBridge. Esto significa que puede crear reglas de EventBridge que generan automáticamente OpsItems para cualquier Servicio de AWS que publica eventos en EventBridge. Para obtener más información, consulte [AWS Systems Manager OpsCenter](OpsCenter.md).
**Amazon Simple Notification Service**
Puede configurar Amazon Simple Notification Service (Amazon SNS) para que envíe notificaciones sobre el estado de los comandos que envía a través de Run Command o Maintenance Windows, herramientas de AWS Systems Manager. Amazon SNS coordina y administra el envío y la entrega de las notificaciones a los clientes o puntos de enlace que estén suscritos a temas de Amazon SNS. Puede recibir una notificación siempre que un comando cambie a un nuevo estado o a un estado específico, como, por ejemplo, `Failed` o `Timed Out`. En los casos en que un comando se envía a varios nodos, puede recibir una notificación por cada copia del comando enviada a un nodo concreto. Para obtener más información, consulte [Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS](monitoring-sns-notifications.md).
**AWS Trusted Advisor y Panel de AWS Health**
Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de miles de clientes de AWS. Trusted Advisor inspecciona su entorno de AWS y realiza recomendaciones cuando surge la oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar a cerrar deficiencias de seguridad. Todos los clientes de AWS tienen acceso a cinco comprobaciones de Trusted Advisor. Los clientes con un plan Business o Enterprise de AWS Support pueden ver todas las verificaciones de Trusted Advisor. Para obtener más información, consulte [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) en la *Guía del usuario de AWS Support* y la *[Guía del usuario de AWS Health](https://docs.aws.amazon.com/health/latest/ug/)*.
**Más información**
+ [Registro y monitorización en AWS Systems Manager](monitoring.md)
# Validación de conformidad en AWS Systems Manager
En este tema se aborda la conformidad de AWS Systems Manager con los programas de garantía de terceros. Para obtener información sobre cómo ver los datos de conformidad de los nodos administrados, consulte [Conformidad de AWS Systems Manager](systems-manager-compliance.md).
Auditores externos evalúan la seguridad y la conformidad de Systems Manager como parte de varios programas de conformidad de AWS. Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros.
Para obtener una lista de Servicios de AWS en el ámbito de programas de conformidad específicos, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/). Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Su responsabilidad de conformidad al utilizar Systems Manager se determina en función de la sensibilidad de los datos, los objetivos de cumplimiento de su empresa y la legislación y los reglamentos correspondientes. AWS proporciona los siguientes recursos para ayudar con la conformidad:
+ [Guías de inicio rápido de seguridad y conformidad](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estas guías de implementación tratan consideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.
+ [Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html): en este documento técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.
+ [Recursos de conformidad de AWS](https://aws.amazon.com/compliance/resources/): este conjunto de manuales y guías podría aplicarse a su sector y ubicación.
+ [Evaluación de recursos con reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) en la *Guía para desarrolladores de AWS Config*: el servicio de AWS Config evalúa en qué medida las configuraciones de sus recursos cumplen las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): este Servicio de AWS proporciona una vista integral de su estado de seguridad en AWS que lo ayuda a verificar la conformidad con los estándares y las prácticas recomendadas del sector de seguridad.
# Resiliencia en AWS Systems Manager
La infraestructura global de AWS se divide en Regiones de AWS y zonas de disponibilidad. Las Regiones de AWSproporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que conmutan automáticamente entre zonas sin interrupción. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
Para obtener más información sobre las Regiones de AWS y las zonas de disponibilidad, consulte la [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
# Seguridad de la infraestructura en AWS Systems Manager
Como se trata de un servicio administrado, AWS Systems Manager está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte [Seguridad en la nube de AWS](https://aws.amazon.com/security/). Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte [Protección de la infraestructura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) en *Portal de seguridad de AWS Well‐Architected Framework*.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Systems Manager a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
# Configuración y análisis de vulnerabilidades en AWS Systems Manager
AWS gestiona las tareas de seguridad básicas, como la configuración del firewall y la recuperación de desastres. Estos procedimientos han sido revisados y certificados por los terceros pertinentes. Para obtener más detalles, consulte los siguientes recursos:
+ [Validación de conformidad en AWS Systems Manager](compliance-validation.md)
+ [Modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Prácticas recomendadas para seguridad, identidad y conformidad](https://aws.amazon.com/architecture/security-identity-compliance/)
# Prácticas recomendadas de seguridad para Systems Manager
AWS Systems Manager proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
**Topics**
+ [Systems ManagerPrácticas recomendadas preventivas de seguridad de](#security-best-practices-prevent)
+ [Prácticas recomendadas de instalación de SSM Agent](#security-best-practices-ssm-agent)
+ [Systems ManagerPrácticas recomendadas de monitorización y auditoría de](#security-best-practices-detect)
## Systems ManagerPrácticas recomendadas preventivas de seguridad de
Las siguientes prácticas recomendadas para Systems Manager pueden serle de utilidad para evitar incidentes de seguridad.
**Implementación del acceso a los privilegios mínimos**
Cuando concede permisos, debe decidir a quién concede cada permiso y para qué recurso de Systems Manager se lo concede. Permita las acciones específicas que desea permitir en estos recursos. Por lo tanto, debe conceder únicamente los permisos obligatorios para realizar una tarea. La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto que podrían causar los errores o los intentos malintencionados.
Las siguientes herramientas están disponibles para implementar el acceso a los privilegios mínimos:
+ [Políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) y [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
**Uso de la configuración recomendada para SSM Agent cuando esté configurado para usar un proxy**
Si configura SSM Agent para usar un proxy, utilice la variable `no_proxy` con la dirección IP del servicio de metadatos de la instancia de Systems Manager para garantizar que las llamadas a Systems Manager no adopten la identidad del servicio de proxy.
Para obtener más información, consulte [Configuración de SSM Agent para utilizar un proxy en nodos de Linux](configure-proxy-ssm-agent.md) y [Configurar el SSM Agent para usar un proxy para las instancias de Windows Server](configure-proxy-ssm-agent-windows.md).
**Uso de parámetros SecureString para cifrar y proteger datos secretos**
En Parameter Store, una herramienta de AWS Systems Manager, un parámetro `SecureString` es toda información confidencial que debe almacenarse o a la que se hace referencia de forma segura. Si tiene datos que no desea que los usuarios modifiquen o a los que no deban hacer referencia en texto sin formato, tales como contraseñas o claves de licencias, cree esos parámetros utilizando el tipo de datos `SecureString`. Parameter Store utiliza una AWS KMS key en AWS Key Management Service (AWS KMS) para cifrar el valor del parámetro. AWS KMS utiliza una clave administrada por el cliente o una Clave administrada de AWS cuando cifra el valor del parámetro. Para lograr la máxima seguridad, le recomendamos usar su propia clave de KMS. Si utiliza la Clave administrada de AWS, cualquier usuario con permiso para ejecutar las acciones [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html) y [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) en su cuenta podrá ver o recuperar el contenido de todos los parámetros de `SecureString`. Si utiliza claves administradas por el cliente para cifrar los valores seguros `SecureString`, puede usar políticas de IAM y políticas de claves para administrar los permisos para cifrar y descifrar parámetros.
Es más difícil establecer políticas de control de acceso para estas operaciones si se utiliza una Clave administrada de AWS. Por ejemplo, si utiliza una Clave administrada de AWS para cifrar parámetros `SecureString` y no desea que los usuarios trabajen con parámetros `SecureString`, sus políticas de IAM deben denegar explícitamente el acceso a la clave predeterminada.
Para obtener más información, consulte [Restringir el acceso a los parámetros de Parameter Store mediante políticas de IAM](sysman-paramstore-access.md) y [Uso de AWS Systems ManagerParameter Store de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) en la *Guía para desarrolladores de AWS Key Management Service*.
**Definición de allowedValues y allowedPattern para parámetros de documentos**
Puede validar la entrada del usuario para los parámetros de documentos de Systems Manager (documentos de SSM) mediante la definición de `allowedValues` y `allowedPattern`. En `allowedValues`, debe definir una matriz de valores permitidos para el parámetro. Si un usuario introduce un valor que no está permitido, la ejecución no se iniciará. En `allowedPattern`, debe definir una expresión regular que valide si la entrada del usuario coincide con el patrón definido para el parámetro. Si la entrada del usuario no coincide con el patrón permitido, la ejecución no se iniciará.
Para obtener más información sobre `allowedValues` y `allowedPattern`, consulte [Elementos y parámetros de datos](documents-syntax-data-elements-parameters.md).
**Bloqueo del uso compartido público de documentos**
A menos que su caso de uso requiera que se permita el uso compartido público, le recomendamos que active la configuración de bloqueo de uso compartido público para sus documentos de SSM en la sección **Preferences** (Preferencias) en la consola de documentos de Systems Manager.
**Uso de una Amazon Virtual Private Cloud (Amazon VPC) y puntos de enlace de la VPC**
Puede usar Amazon VPC para lanzar recursos de AWS en una red virtual que haya definido. Esta red virtual es muy similar a la red tradicional que usaría en su propio centro de datos, pero con los beneficios que supone utilizar la infraestructura escalable de AWS.
Implementar un punto de conexión de VPC permite conectar de forma privada su VPC a los Servicios de AWS y a los servicios de punto de conexión de VPC basados en AWS PrivateLink compatibles sin necesidad de una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN ni una conexión de AWS Direct Connect. Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con los recursos del servicio. El tráfico entre su VPC y el servicio no sale de la red de Amazon.
Para obtener más información sobre la seguridad de Amazon VPC, consulte [Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager](setup-create-vpc.md) y [Privacidad del tráfico entre redes en Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) en la *Guía del usuario de Amazon VPC*.
**Restrinja a los usuarios de Session Manager a las sesiones mediante comandos interactivos y documentos de sesión SSM específicos.**
Session Manager, una herramienta de AWS Systems Manager, proporciona [varios métodos para comenzar sesiones](session-manager-working-with-sessions-start.md) en los nodos administrados. Para las conexiones más seguras, puede requerir que los usuarios se conecten con el método de *comandos interactivos* para limitar la interacción del usuario a un comando o secuencia de comandos específicos. Esto le ayuda a administrar las acciones interactivas que puede realizar un usuario. Para obtener más información, consulte [Inicio de una sesión (comandos interactivos y no interactivos)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).
Para mayor seguridad, puede limitar el acceso de instancias específicas de Amazon EC2 a Session Manager y a documentos de sesión específicos de Session Manager. Puede conceder o revocar el acceso a Session Manager de esta manera mediante políticas AWS Identity and Access Management (IAM). Para obtener más información, consulte [Paso 3: controlar el acceso de la sesión a los nodos administrados](session-manager-getting-started-restrict-access.md).
**Proporción de permisos de nodos temporales para flujos de trabajo de Automation**
Durante un flujo de trabajo de Automatización, una herramienta de AWS Systems Manager, es posible que los nodos necesiten permisos que solo se requieran para esa ejecución, pero no para otras operaciones de Systems Manager. Por ejemplo, un flujo de trabajo de Automation puede requerir un nodo para llamar a una determinada operación de la API o acceder a un recurso de AWS en particular durante el flujo de trabajo. Si estas llamadas o recursos son aquellos a los que desea limitar el acceso, puede proporcionar permisos temporales y suplementarios para los nodos dentro del propio manual de procedimientos de Automation, en lugar de agregar los permisos al perfil de instancias de IAM. Al final del flujo de trabajo de Automation, se retiran los permisos temporales. Para obtener más información, consulte [Cómo proporcionar permisos de instancia temporales con Automations de AWS Systems Manager](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/) en el *Blog de administración y gobernanza de AWS*.
**Mantención de las herramientas de AWS y Systems Manager actualizadas**
AWS publica periódicamente versiones actualizadas de herramientas y complementos que puede usar en su operaciones de AWS y Systems Manager. Mantener estos recursos actualizados garantiza que los usuarios y los nodos de la cuenta tengan acceso a la funcionalidad y las características de seguridad más recientes de estas herramientas.
+ SSM Agent: AWS Systems Manager Agent (SSM Agent) es el software de Amazon que se puede instalar y configurar en una instancia de Amazon Elastic Compute Cloud (Amazon EC2), un servidor local o en una máquina virtual. SSM Agent permite que Systems Manager actualice, administre y configure estos recursos. Recomendamos comprobar si hay nuevas versiones o automatizar las actualizaciones del agente, al menos cada dos semanas. Para obtener más información, consulte [Automatización de las actualizaciones de SSM Agent](ssm-agent-automatic-updates.md). También recomendamos verificar la firma de SSM Agent como parte de su proceso de actualización. Para obtener más información, consulte [Verificación de la firma de SSM Agent](verify-agent-signature.md).
+ AWS CLI: la AWS Command Line Interface (AWS CLI) es una herramienta de código abierto que le permite interactuar con Servicios de AWS mediante el uso de comandos en el shell de la línea de comandos. Para actualizar la AWS CLI, ejecute el mismo comando utilizado para instalar la AWS CLI. Recomendamos crear una tarea programada en el equipo local que ejecute el comando apropiado para su sistema operativo al menos una vez cada dos semanas. Para obtener información acerca de la instalación de comandos, consulte [Instalación de la versión 2 de AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) en la *Guía del usuario de AWS Command Line Interface*.
+ AWS Tools for Windows PowerShell: las Tools for Windows PowerShell son un conjunto de módulos de PowerShell basados en la funcionalidad expuesta por el AWS SDK para .NET. Las AWS Tools for Windows PowerShell permiten realizar operaciones mediante scripts en sus recursos de AWS desde la línea de comandos de PowerShell. De forma periódica, cuando se publiquen versiones actualizadas de Tools for Windows PowerShell, debería actualizar la versión que ejecuta localmente. Para obtener información, consulte [Actualización de AWS Tools for Windows PowerShell en Windows](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) o [Actualización de AWS Tools for Windows PowerShell en Linux o macOS](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux) en la *Guía del usuario del simulador de políticas de IAM*.
+ Complemento de Session Manager: si los usuarios de la organización con permisos para utilizar Session Manager desean conectarse a un nodo mediante la AWS CLI, antes deben instalar el complemento de Session Manager en sus equipos locales. Para actualizar el complemento, ejecute el mismo comando utilizado para instalarlo. Recomendamos crear una tarea programada en el equipo local que ejecute el comando apropiado para su sistema operativo al menos una vez cada dos semanas. Para obtener más información, consulte [Instalación del complemento de Session Manager para la AWS CLI](session-manager-working-with-install-plugin.md).
+ Agente de CloudWatch: puede configurar y utilizar el agente de CloudWatch para recopilar métricas y registros de las instancias EC2, las instancias locales y las máquinas virtuales. Estos registros se pueden enviar a los Registros de Amazon CloudWatch para su monitoreo y análisis. Recomendamos comprobar si hay nuevas versiones o automatizar las actualizaciones del agente, al menos cada dos semanas. Para las actualizaciones más simples, use la Configuración Rápida de AWS Systems Manager. Para obtener más información, consulte [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md).
## Prácticas recomendadas de instalación de SSM Agent
Para instalar SSM Agent, utilice el método de instalación adecuado para su tipo de máquina. En particular, utilice la herramienta `ssm-setup-cli` para todas las instalaciones que no sean de EC2 en un entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types). Esta herramienta proporciona protecciones de seguridad adicionales para máquinas que no son de EC2.
Para instalar el agente en servidores en las instalaciones y máquinas virtuales, utilice la herramienta `ssm-setup-cli` tal y como se describe en los siguientes temas:
+ [Instalar SSM Agent en nodos de Linux híbridos](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Instalación de SSM Agent en nodos híbridos de Windows Server](hybrid-multicloud-ssm-agent-install-windows.md)
Para instalar el agente en instancias EC2, utilice el procedimiento de instalación correspondiente al tipo de sistema operativo:
+ [Instalación y desinstalación manual de SSM Agent en instancias de EC2 para Linux](manually-install-ssm-agent-linux.md)
+ [Instalación y desinstalación manual de SSM Agent en instancias de EC2 para macOS](manually-install-ssm-agent-macos.md)
+ [Cómo instalar y desinstalar de forma manual SSM Agent en instancias de EC2 para Windows Server](manually-install-ssm-agent-windows.md)
## Systems ManagerPrácticas recomendadas de monitorización y auditoría de
Las siguientes prácticas recomendadas para Systems Manager le pueden ser de utilidad para detectar los incidentes y los posibles puntos débiles de la seguridad.
**Identificación y auditoría de todos los recursos de Systems Manager**
La identificación de sus activos de TI es un aspecto fundamental de seguridad y control. Tiene que identificar todos sus recursos de Systems Manager para evaluar sus medidas de seguridad y tomar así las medidas pertinentes respecto a las posibles áreas de debilidad.
Utilice Tag Editor para identificar los recursos que precisan más seguridad o una auditoría y utilice dichas etiquetas cuando tenga que buscarlos. Para obtener más información, consulte [Búsqueda de recursos para etiquetar](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html) en la *Guía del usuario de Grupos de recursos de AWS*.
Cree grupos de recursos para sus recursos de Systems Manager. Para obtener más información, consulte [What are resource groups?](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html)
**Implementación del monitoreo mediante las herramientas de monitoreo de Amazon CloudWatch**
El monitoreo es una parte importante del mantenimiento de la fiabilidad, la seguridad, la disponibilidad y el rendimiento de Systems Manager y sus soluciones de AWS. Amazon CloudWatch ofrece varias herramientas y servicios para ayudarlo a supervisar Systems Manager y sus otros Servicios de AWS. Para obtener más información, consulte [Envío de registros de nodos a los Registros de CloudWatch (agente de CloudWatch) unificado](monitoring-cloudwatch-agent.md) y [Cómo monitorear eventos de Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md).
**Uso de CloudTrail**
AWS CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un Servicio de AWS en Systems Manager. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Systems Manager, la dirección IP desde la que se realizó, quién la realizó y cuándo, etc. Para obtener más información, consulte [Registro de llamadas a la API de AWS Systems Manager con AWS CloudTrail](monitoring-cloudtrail-logs.md).
**Activar AWS Config**
AWS Config le permite examinar, auditar y evaluar las configuraciones de sus recursos de AWS. AWS Config monitorea las configuraciones de los recursos, lo que le permite evaluar las configuraciones registradas respecto a las configuraciones de seguridad requeridas. Con AWS Config puede revisar los cambios en las configuraciones y las relaciones entre los recursos de AWS, investigar los historiales detallados de configuración de recursos y determinar la conformidad general con respecto a las configuraciones especificadas en sus pautas internas. Esto le puede ser de utilidad para simplificar las auditorías de conformidad, los análisis de seguridad, la administración de cambios y la resolución de problemas operativos. Para obtener más información, consulte [Configuración de AWS Config mediante la consola](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) en la *Guía para desarrolladores de AWS Config*. Al especificar los tipos de recursos para registras, asegúrese de incluir los recursos de Systems Manager.
**Monitoreo de los avisos de seguridad de AWS**
Debe comprobar con regularidad los avisos sobre seguridad publicados en Trusted Advisor para su Cuenta de AWS. Puede hacer esto mediante programación con [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html).
Además, supervise de forma activa la dirección principal de email registrada en cada una de sus Cuentas de AWS. AWS contactará con usted, a través de esta dirección de email, para informarle sobre los problemas de seguridad que surjan y que pudieran afectarle.
Los problemas operativos de AWS con gran alcance se publican en [AWS Service Health Dashboard](https://status.aws.amazon.com/). Los problemas operativos también se publican en las cuentas individuales a través del Personal Health Dashboard. Para obtener más información, consulte la [documentación de AWS Health](https://docs.aws.amazon.com/health/).
**Más información**
+ [Prácticas recomendadas para seguridad, identidad y conformidad](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [Introducción: siga las prácticas recomendadas de seguridad a medida que se configuran los recursos de AWS](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/) (Blog de seguridad de AWS)
+ [Security best practices in IAM (Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Prácticas recomendadas de seguridad de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Prácticas recomendadas de seguridad para Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [Prácticas recomendadas de seguridad para AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)