Para obtener capacidades similares a las de Amazon Timestream, considere Amazon Timestream LiveAnalytics para InfluxDB. Ofrece una ingesta de datos simplificada y tiempos de respuesta a las consultas en milisegundos de un solo dígito para realizar análisis en tiempo real. Obtenga más información [aquí](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Timestream para LiveAnalytics
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de cumplimiento que se aplican a Timestream LiveAnalytics, consulte los [AWS servicios incluidos en el ámbito de aplicación por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.
Esta documentación le ayudará a entender cómo aplicar el modelo de responsabilidad compartida cuando utilice Timestream para. LiveAnalytics Los siguientes temas le muestran cómo configurar Timestream LiveAnalytics para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que pueden ayudarle a supervisar y proteger sus recursos de Timestream. LiveAnalytics
**Topics**
+ [
# Protección de datos en Timestream para LiveAnalytics
](data-protection.md)
+ [
# Administración de identidades y accesos para Amazon Timestream para LiveAnalytics
](security-iam.md)
+ [
# Registro y supervisión en Timestream para LiveAnalytics
](monitoring.md)
+ [
# Resiliencia de Amazon Timestream Live Analytics
](disaster-recovery-resiliency.md)
+ [
# Seguridad de la infraestructura en Amazon Timestream Live Analytics
](infrastructure-security.md)
+ [
# Configuración y análisis de vulnerabilidades en Timestream
](ConfigAndVulnerability.md)
+ [
# Respuesta a incidentes en Timestream para LiveAnalytics
](IncidentResponse.md)
+ [
# Puntos de conexión de VPC (AWS PrivateLink)
](VPCEndpoints.md)
+ [
# Prácticas recomendadas de seguridad para Amazon Timestream para LiveAnalytics
](best-practices-security.md)
# Protección de datos en Timestream para LiveAnalytics
El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en Amazon Timestream Live Analytics. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los. Nube de AWS Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Timestream Live Analytics u otro tipo de análisis Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
Para obtener información más detallada sobre Timestream para temas de protección de LiveAnalytics datos como el cifrado en reposo y la administración de claves, selecciona cualquiera de los temas disponibles a continuación.
**Topics**
+ [
# Cifrado en reposo
](EncryptionAtRest.md)
+ [
# Cifrado en tránsito
](EncryptionInTransit.md)
+ [
# Administración de claves
](KeyManagement.md)
# Cifrado en reposo
[Timestream para el LiveAnalytics cifrado en reposo proporciona una seguridad mejorada al cifrar todos los datos en reposo mediante claves de cifrado almacenadas en ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Esta funcionalidad ayuda a reducir la carga y la complejidad operativas que conlleva la protección de información confidencial. Con el cifrado en reposo, puede crear aplicaciones sensibles a la seguridad que necesitan cumplimiento estricto de cifrado y requisitos normativos.
+ El cifrado está activado de forma predeterminada en la LiveAnalytics base de datos Timestream for y no se puede desactivar. El algoritmo de cifrado AES-256 estándar del sector es el algoritmo de cifrado predeterminado que se utiliza.
+ AWS KMS es necesario para el cifrado en reposo en Timestream for. LiveAnalytics
+ No puede cifrar sólo un subconjunto de elementos de una tabla.
+ No es necesario modificar las aplicaciones cliente de base de datos para utilizar el cifrado.
Si no proporciona una clave, Timestream for LiveAnalytics crea y utiliza una AWS KMS clave con el nombre `alias/aws/timestream` de su cuenta.
Puede usar su propia clave administrada por el cliente en KMS para cifrar sus datos de Timestream. LiveAnalytics Para obtener más información sobre las claves de Timestream for, consulte. LiveAnalytics [Administración de claves](KeyManagement.md)
Timestream for LiveAnalytics almacena sus datos en dos niveles de almacenamiento, almacenamiento de memoria y almacenamiento magnético. Los datos del almacén de memoria se cifran mediante una clave de servicio Timestream. LiveAnalytics Los datos del almacén magnético se cifran con su clave AWS KMS.
El servicio Timestream Query requiere credenciales para acceder a sus datos. Estas credenciales se cifran mediante su clave KMS.
**nota**
Timestream for LiveAnalytics no requiere todas las operaciones AWS KMS de descifrado. En su lugar, mantiene una caché local de claves durante 5 minutos con tráfico activo. Cualquier cambio de permiso se propaga a través del Timestream para el LiveAnalytics sistema con una coherencia final en un plazo máximo de 5 minutos.
# Cifrado en tránsito
Todos los datos de Timestream Live Analytics se cifran en tránsito. De forma predeterminada, todas las comunicaciones con y desde Timestream for LiveAnalytics están protegidas mediante el cifrado Transport Layer Security (TLS).
# Administración de claves
Puede administrar las claves de Amazon Timestream Live Analytics mediante [AWS el Servicio AWS de administración de claves](https://docs.aws.amazon.com/kms/latest/developerguide/) (KMS). **Timestream Live Analytics requiere el uso de KMS para cifrar los datos.** Dispone de las siguientes opciones para la administración de claves, en función del control que necesite sobre ellas:
**Recursos de bases de datos y tablas**
+ *Clave administrada por Timestream Live Analytics*: si no proporciona una clave, Timestream Live Analytics creará una clave de `alias/aws/timestream` mediante KMS.
+ *Clave administrada por el cliente*: se admiten las claves administradas por el cliente de KMS. Elija esta opción si necesita tener más control sobre los permisos y el ciclo de vida de sus claves, lo que incluye la posibilidad de rotarlas automáticamente cada año.
**Recurso de consulta programada**
+ *Clave propiedad de Timestream Live Analytics*: si no proporciona una clave, Timestream Live Analytics usará su propia clave KMS para cifrar el recurso de consulta, esta clave está presente en la cuenta de Timestream. Para obtener más información, consulte [Claves propias de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) en la Guía para desarrolladores de KMS.
+ *Clave administrada por el cliente*: se admiten las claves administradas por el cliente de KMS. Elija esta opción si necesita tener más control sobre los permisos y el ciclo de vida de sus claves, lo que incluye la posibilidad de rotarlas automáticamente cada año.
Las claves KMS no se admiten en un almacén de claves externo.
# Administración de identidades y accesos para Amazon Timestream para LiveAnalytics
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar Timestream como recurso. LiveAnalytics Puede utilizar IAM Servicio de AWS sin coste adicional.
**Topics**
+ [
## Público
](#security_iam_audience)
+ [
## Autenticación con identidades
](#security_iam_authentication)
+ [
## Administración del acceso con políticas
](#security_iam_access-manage)
+ [
# Cómo funciona Amazon Timestream for con IAM LiveAnalytics
](security_iam_service-with-iam.md)
+ [
# AWS políticas gestionadas para Amazon Timestream Live Analytics
](security-iam-awsmanpol.md)
+ [
# Amazon Timestream LiveAnalytics para ejemplos de políticas basadas en la identidad
](security_iam_id-based-policy-examples.md)
+ [
# Solución de problemas de identidad y acceso en Amazon Timestream LiveAnalytics
](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso en Amazon Timestream LiveAnalytics](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon Timestream for con IAM LiveAnalytics](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Amazon Timestream LiveAnalytics para ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon Timestream for con IAM LiveAnalytics
Antes de usar IAM para administrar el acceso a Timestream LiveAnalytics, debe saber para qué funciones de IAM están disponibles para su uso con Timestream. LiveAnalytics *Para obtener una visión general de cómo funcionan Timestream for LiveAnalytics y otros AWS servicios con IAM, consulte [AWS Servicios que](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) funcionan con IAM en la Guía del usuario de IAM.*
**Topics**
+ [
## Cronología de las políticas basadas en la identidad LiveAnalytics
](#security_iam_service-with-iam-id-based-policies)
+ [
## Cronología de las políticas basadas en recursos LiveAnalytics
](#security_iam_service-with-iam-resource-based-policies)
+ [
## Autorización basada en Timestream para las etiquetas LiveAnalytics
](#security_iam_service-with-iam-tags)
+ [
## Secuencia temporal de las funciones de IAM LiveAnalytics
](#security_iam_service-with-iam-roles)
## Cronología de las políticas basadas en la identidad LiveAnalytics
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Timestream para LiveAnalytics respaldar acciones y recursos específicos y claves de condición. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Puede especificar las siguientes acciones en el elemento Action de una instrucción de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando usa una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI o de SQL con el mismo nombre.
En algunos casos, una sola acción controla el acceso a una operación de API y a un comando SQL. Asimismo, algunas operaciones requieren varias acciones diferentes.
Para ver una lista de los tipos de Timestream compatibles, consulta la siguiente tabla: LiveAnalytics `Action`
**nota**
En el caso de todas las `Actions` de bases de datos específicas, puede especificar un ARN de base de datos para limitar la acción a una base de datos concreta.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (\$1necesarios) |
| --- | --- | --- | --- |
| DescribeEndpoints | Devuelve el punto de conexión de Timestream al que se deben realizar las solicitudes posteriores. | Todos | \$1 |
| Select | Ejecuta consultas en Timestream que seleccionen datos de una o más tablas. [Consulte esta nota para obtener una explicación más detallada](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues) | Lectura | table\$1 |
| CancelQuery | Cancela una consulta. | Lectura | \$1 |
| ListTables | Obtiene la lista de tablas. | Enumeración | database\$1 |
| ListDatabases | Obtiene la lista de bases de datos. | Enumeración | \$1 |
| ListMeasures | Obtiene la lista de medidas. | Lectura | table\$1 |
| DescribeTable | Obtiene la descripción de la tabla. | Lectura | table\$1 |
| DescribeDatabase | Obtiene la descripción de la base de datos. | Lectura | database\$1 |
| SelectValues | Ejecute consultas que no requieran la especificación de un recurso en particular. [Consulte esta nota para obtener una explicación más detallada](#security_iam_service-with-iam-id-based-policies-actions.select-vs-selectvalues). | Lectura | \$1 |
| WriteRecords | Inserta datos en Timestream. | Escritura | table\$1 |
| CreateTable | Crear una tabla de . | Escritura | database\$1 |
| CreateDatabase | Cree una base de datos. | Escritura | \$1 |
| DeleteDatabase | Elimina una base de datos. | Escritura | \$1 |
| UpdateDatabase | Actualiza una base de datos. | Escritura | \$1 |
| DeleteTable | Elimina una tabla. | Escritura | database\$1 |
| UpdateTable | Actualiza una tabla. | Escritura | database\$1 |
#### SelectValues frente a seleccionar:
`SelectValues` es una `Action` que se usa para consultas que *no* requieren un recurso. Un ejemplo de consulta que no requiere un recurso es el siguiente:
```
SELECT 1
```
Tenga en cuenta que esta consulta no hace referencia a un flujo temporal específico para LiveAnalytics el recurso. Vayamos con otro ejemplo:
```
SELECT now()
```
Esta consulta devuelve la marca de tiempo actual mediante la `now()` función, pero no requiere que se especifique un recurso. `SelectValues`se utiliza a menudo para realizar pruebas, por lo que Timestream for LiveAnalytics puede ejecutar consultas sin recursos. Ahora, consideremos una consulta `Select`:
```
SELECT * FROM database.table
```
Este tipo de consulta requiere un recurso, específicamente un Timestream LiveAnalytics `table`, para poder obtener los datos especificados de la tabla.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
En Timestream, las LiveAnalytics bases de datos y las tablas se pueden utilizar como `Resource` elemento de permisos de IAM.
El recurso Timestream for LiveAnalytics database tiene el siguiente ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}
```
El recurso Timestream for LiveAnalytics table tiene el siguiente ARN:
```
arn:${Partition}:timestream:${Region}:${Account}:database/${DatabaseName}/table/${TableName}
```
Para obtener más información sobre el formato de ARNs, consulte [Amazon Resource Names (ARNs) y AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por ejemplo, para especificar el espacio de claves `database` en su instrucción, utilice el siguiente ARN:
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/mydatabase"
```
Para especificar todas las bases de datos que pertenecen a una cuenta específica, use el carácter comodín (\$1):
```
"Resource": "arn:aws:timestream:us-east-1:123456789012:database/*"
```
Algunas secuencias temporales de LiveAnalytics acciones, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
### Claves de condición
Timestream for LiveAnalytics no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de algunas claves de condición globales. *Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) de IAM.*
### Ejemplos
Para ver ejemplos de Timestream para políticas basadas en la LiveAnalytics identidad, consulte. [Amazon Timestream LiveAnalytics para ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)
## Cronología de las políticas basadas en recursos LiveAnalytics
Timestream for LiveAnalytics no admite políticas basadas en recursos. Para ver un ejemplo de una página detallada de política basada en recursos, consulte [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).
## Autorización basada en Timestream para las etiquetas LiveAnalytics
Puede administrar el acceso a su flujo temporal de LiveAnalytics recursos mediante etiquetas. Para administrar el acceso a recursos en función de etiquetas, proporcione información de etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `timestream:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información sobre cómo etiquetar Timestream para los recursos, consulte. LiveAnalytics [Agregar etiquetas a los recursos](tagging-keyspaces.md)
Para ver ejemplos de políticas basadas en identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Secuencia temporal de acceso a los recursos basada en etiquetas LiveAnalytics](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).
## Secuencia temporal de las funciones de IAM LiveAnalytics
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos.
### Usar credenciales temporales con Timestream para LiveAnalytics
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones AWS STS de API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
### Roles vinculados a servicios
Timestream for no LiveAnalytics admite funciones vinculadas a servicios.
### Roles de servicio
Timestream for LiveAnalytics no admite funciones de servicio.
# AWS políticas gestionadas para Amazon Timestream Live Analytics
Una política AWS gestionada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
**Topics**
+ [AmazonTimestreamInfluxDBFullAcceso](#security-iam-awsmanpol-AmazonTimestreamInfluxDBFullAccess)
+ [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess)
+ [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess)
+ [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess)
+ [Actualizaciones de políticas](#security-iam-awsmanpol-updates)
## AWS política gestionada: AmazonTimestreamInflux DBFull acceso
Puede asociar `AmazonTimestreamInfluxDBFullAccess` a los usuarios, grupos y roles. La política de acceso para crear, actualizar, eliminar y enumerar instancias de Amazon Timestream InfluxDB.
**Detalles del permiso**
Esta política incluye el siguiente permiso:
+ `Amazon Timestream`: proporciona acceso administrativo completo para crear, actualizar, eliminar y enumerar instancias de Amazon Timestream InfluxDB y crear y enumerar grupos de parámetros.
Para revisar esta política en formato JSON, consulte [AmazonTimestreamInfluxDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamInfluxDBFullAccess.html).
## AWS política gestionada: AmazonTimestreamReadOnlyAccess
Puede asociar `AmazonTimestreamReadOnlyAccess` a los usuarios, grupos y roles. La política proporciona acceso de solo lectura a Amazon Timestream.
**Detalles del permiso**
Esta política incluye el siguiente permiso:
+ `Amazon Timestream`: proporciona acceso de solo lectura a Amazon Timestream. Esta política también proporciona permiso para cancelar cualquier consulta en curso.
Para revisar esta política en formato JSON, consulte [AmazonTimestreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamReadOnlyAccess.html).
## AWS política gestionada: AmazonTimestreamConsoleFullAccess
Puede asociar `AmazonTimestreamConsoleFullAccess` a los usuarios, grupos y roles.
La política proporciona acceso completo para administrar Amazon Timestream mediante la Consola de administración de AWS. Esta política también otorga permisos para determinadas AWS KMS operaciones y operaciones con el fin de gestionar las consultas guardadas.
**Detalles del permiso**
Esta política incluye los permisos siguientes:
+ `Amazon Timestream`: concede a las entidades principales acceso completo a Amazon Timestream.
+ `AWS KMS` – Permite a las entidades principales enumerar alias y describir claves.
+ `Amazon S3`: permite a las entidades principales enumerar todos los buckets de Amazon S3.
+ `Amazon SNS`: permite a las entidades principales enumerar temas de Amazon SNS.
+ `IAM`: permite a las entidades principales enumerar los roles de IAM.
+ `DBQMS`: permite a las entidades principales acceder, crear, eliminar, describir y actualizar consultas. El Database Query Metadata Service (dbqms) es un servicio únicamente interno. Proporciona las consultas recientes y guardadas para el editor de consultas de múltiples Servicios de AWS, incluida Amazon Timestream. Consola de administración de AWS
+ `Pricing`: permite a las entidades principales acceder a la estimación de precios para la configuración de los recursos de InfluxDB durante la creación.
+ `Marketplace`: permite a las entidades principales acceder a los recursos del mercado y crear acuerdos para la creación de clústeres de InfluxDB con réplicas de lectura.
Para revisar esta política en formato JSON, consulte. [AmazonTimestreamConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamConsoleFullAccess.html)
## AWS política gestionada: AmazonTimestreamFullAccess
Puede asociar `AmazonTimestreamFullAccess` a los usuarios, grupos y roles.
La política proporciona acceso total a Amazon Timestream. Esta política también concede permisos para determinadas AWS KMS operaciones.
**Detalles del permiso**
Esta política incluye los permisos siguientes:
+ `Amazon Timestream`: concede a las entidades principales acceso completo a Amazon Timestream.
+ `AWS KMS` – Permite a las entidades principales enumerar alias y describir claves.
+ `Amazon S3`: permite a las entidades principales enumerar todos los buckets de Amazon S3.
Para revisar esta política en formato JSON, consulte [AmazonTimestreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonTimestreamFullAccess.html).
## Timestream Live Analytics actualiza las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Timestream Live Analytics desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página [Historial de documentos de Timestream Live Analytics](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): actualización de una política actual | Timestream para InfluxDB ha agregado el ID de producto de mercado Influx Enterprise a la política administrada de `AmazonTimestreamInfluxDBFullAccess` existente para respaldar la suscripción a las ofertas del mercado empresarial. Estos permisos están restringidos a productos específicos de AWS Marketplace mediante una condición que limita el acceso solo a ciertos productos`ProductIds`. Consulta [AmazonTimestreamInfluxDBFullAcceso](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-awsmanpol-influxdb.html#iam.identitybasedpolicies.predefinedpolicies). | 17 de octubre de 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): actualización de una política actual | Se agregaron los permisos de AWS Marketplace a la política `AmazonTimestreamConsoleFullAccess` administrada existente para acceder a los recursos del mercado y crear acuerdos para la creación de InfluxDB Cluster with Read Replicas. Timestream Live Analytics también actualizó esta política administrada mediante la adición de un campo `Sid`. La actualización de la política no afecta al uso de la política administrada de `AmazonTimestreamConsoleFullAccess`. | 20 de agosto de 2025 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): actualización de una política actual | Se agregó la acción `pricing:GetProducts` a la política administrada de `AmazonTimestreamConsoleFullAccess` existente para proporcionar estimaciones de precios para las configuraciones de recursos de InfluxDB durante la creación. La actualización de la política no afecta al uso de la política administrada de `AmazonTimestreamConsoleFullAccess`. | 10 de junio de 2025 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess): actualización de una política actual | Se agregó la acción `timestream:DescribeAccountSettings` a la política administrada existente `AmazonTimestreamReadOnlyAccess`. Esta acción se utiliza para describir la configuración. Cuenta de AWS Timestream Live Analytics también actualizó esta política administrada mediante la adición de un campo `Sid`. La actualización de la política no afecta al uso de la política administrada de `AmazonTimestreamReadOnlyAccess`. | 03 de junio de 2024 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess): actualización de una política actual | Se agregaron las acciones `timestream:DescribeBatchLoadTask` y `timestream:ListBatchLoadTasks` a la política administrada de `AmazonTimestreamReadOnlyAccess` existente. Estas acciones se usan al enumerar y describir las tareas de carga por lotes. La actualización de la política no afecta al uso de la política administrada de `AmazonTimestreamReadOnlyAccess`. | 24 de febrero de 2023 |
| [AmazonTimestreamReadOnlyAccess](#security-iam-awsmanpol-AmazonTimestreamReadOnlyAccess): actualización de una política actual | Se agregaron las acciones `timestream:DescribeScheduledQuery` y `timestream:ListScheduledQueries` a la política administrada de `AmazonTimestreamReadOnlyAccess` existente. Estas acciones se usan para enumerar y describir las consultas programadas existentes. La actualización de la política no afecta al uso de la política administrada de `AmazonTimestreamReadOnlyAccess`. | 29 de noviembre de 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): actualización de una política actual | Se agregó la acción `s3:ListAllMyBuckets` a la política administrada existente `AmazonTimestreamConsoleFullAccess`. Esta acción se usa cuando se especifica un bucket de Amazon S3 para que Timestream registre los errores de escritura en almacenes magnéticos. La actualización de la política no afecta al uso de la política administrada de `AmazonTimestreamConsoleFullAccess`. | 29 de noviembre de 2021 |
| [AmazonTimestreamFullAccess](#security-iam-awsmanpol-AmazonTimestreamFullAccess): actualización de una política actual | Se agregó la acción `s3:ListAllMyBuckets` a la política administrada existente `AmazonTimestreamFullAccess`. Esta acción se usa cuando se especifica un bucket de Amazon S3 para que Timestream registre los errores de escritura en almacenes magnéticos. La actualización de la política no afecta al uso de la política administrada de `AmazonTimestreamFullAccess`. | 29 de noviembre de 2021 |
| [AmazonTimestreamConsoleFullAccess](#security-iam-awsmanpol-AmazonTimestreamConsoleFullAccess): actualización de una política actual | Se eliminaron las acciones redundantes de la política administrada de `AmazonTimestreamConsoleFullAccess` existente. Anteriormente, esta política incluía una acción redundante `dbqms:DescribeQueryHistory`. La política actualizada elimina la acción redundante. La actualización de la política no afecta al uso de la política administrada de `AmazonTimestreamConsoleFullAccess`. | 23 de abril de 2021 |
| Timestream Live Analytics comenzó a realizar un seguimiento de los cambios | Timestream Live Analytics comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 21 de abril de 2021 |
# Amazon Timestream LiveAnalytics para ejemplos de políticas basadas en la identidad
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear o modificar Timestream para los recursos. LiveAnalytics Tampoco pueden realizar tareas mediante el CQLSH o la Consola de administración de AWS API. AWS CLI AWS Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [
## Prácticas recomendadas relativas a políticas
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Uso de Timestream para consola LiveAnalytics
](#security_iam_id-based-policy-examples-console)
+ [
## Cómo permitir a los usuarios consultar sus propios permisos
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Operaciones comunes en Timestream para LiveAnalytics
](#security_iam_id-based-policy-examples-common-operations)
+ [
## Secuencia temporal de acceso a los recursos basada en etiquetas LiveAnalytics
](#security_iam_id-based-policy-examples-tags)
+ [
## Consultas programadas
](#security_iam_id-based-policy-examples-sheduledqueries)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar Timestream para los recursos de tu cuenta. LiveAnalytics Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de Timestream para consola LiveAnalytics
Timestream for no LiveAnalytics requiere permisos específicos para acceder a Amazon Timestream para consola. LiveAnalytics Necesita al menos permisos de solo lectura para enumerar y ver detalles sobre el Timestream de los recursos de su cuenta. LiveAnalytics AWS Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política.
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Operaciones comunes en Timestream para LiveAnalytics
A continuación, se muestran ejemplos de políticas de IAM que permiten realizar operaciones comunes en el Timestream for Service. LiveAnalytics
**Topics**
+ [
### Autorización de todas las operaciones
](#security_iam_id-based-policy-examples-common-operations.all)
+ [
### Permisos para operaciones SELECT
](#security_iam_id-based-policy-examples-common-operations.select)
+ [
### Permisos para operaciones SELECT en varios recursos
](#security_iam_id-based-policy-examples-common-operations.select-multiple-resources)
+ [
### Permisos para operaciones de metadatos
](#security_iam_id-based-policy-examples-common-operations.metadata)
+ [
### Permisos para operaciones INSERT
](#security_iam_id-based-policy-examples-common-operations.insert)
+ [
### Permisos para operaciones CRUD
](#security_iam_id-based-policy-examples-common-operations.crud)
+ [
### Cancela las consultas y selecciona los datos sin especificar los recursos
](#security_iam_id-based-policy-examples-common-operations.cancel-selectvalues)
+ [
### Creación, descripción, eliminación y actualización de una base de datos
](#security_iam_id-based-policy-examples-common-operations.cddd)
+ [
### Límite de bases de datos enumeradas por `{"Owner": "${username}"}` de etiqueta
](#security_iam_id-based-policy-examples-common-operations.list-by-tag)
+ [
### Enumeración de todas las tablas en una base de datos
](#security_iam_id-based-policy-examples-common-operations.list-all-tables)
+ [
### Creación, descripción, eliminación, actualización y selección de una tabla
](#security_iam_id-based-policy-examples-common-operations.cddus-table)
+ [
### Límites de una consulta por tabla
](#security_iam_id-based-policy-examples-common-operations.limit-query-table)
### Autorización de todas las operaciones
El siguiente es un ejemplo de política que permite realizar todas las operaciones en Timestream durante. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:*"
],
"Resource": "*"
}
]
}
```
------
### Permisos para operaciones SELECT
La siguiente política de ejemplo permite realizar consultas de estilo `SELECT` en un recurso específico.
**nota**
Reemplace `` por su ID de cuenta de Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Permisos para operaciones SELECT en varios recursos
La siguiente política de ejemplo permite realizar consultas de estilo `SELECT` en varios recursos.
**nota**
Reemplace `` por su ID de cuenta de Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select",
"timestream:DescribeTable",
"timestream:ListMeasures"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps1",
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps2"
]
},
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Permisos para operaciones de metadatos
El siguiente ejemplo de política permite al usuario realizar consultas de metadatos, pero no permite al usuario realizar operaciones que lean o escriban datos reales en Timestream for. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeTable",
"timestream:ListMeasures",
"timestream:SelectValues",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Permisos para operaciones INSERT
El siguiente ejemplo de política permite a un usuario realizar una operación `INSERT` en `database/sampleDB/table/DevOps` en su cuenta ``.
**nota**
Reemplace `` por su ID de cuenta de Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:WriteRecords"
],
"Resource": [
"arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
### Permisos para operaciones CRUD
El siguiente ejemplo de política permite a un usuario realizar operaciones CRUD en Timestream for. LiveAnalytics
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:ListTables",
"timestream:ListDatabases",
"timestream:DeleteTable",
"timestream:DeleteDatabase",
"timestream:UpdateTable",
"timestream:UpdateDatabase"
],
"Resource": "*"
}
]
}
```
------
### Cancela las consultas y selecciona los datos sin especificar los recursos
El siguiente ejemplo de política permite al usuario cancelar las consultas y realizar consultas `Select` sobre datos que no requieren la especificación de recursos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:SelectValues",
"timestream:CancelQuery"
],
"Resource": "*"
}
]
}
```
------
### Creación, descripción, eliminación y actualización de una base de datos
El siguiente ejemplo de política permite a un usuario crear, describir, eliminar y actualizar una base de datos `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateDatabase",
"timestream:DescribeDatabase",
"timestream:DeleteDatabase",
"timestream:UpdateDatabase"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB"
}
]
}
```
------
### Límite de bases de datos enumeradas por `{"Owner": "${username}"}` de etiqueta
La siguiente política de ejemplo permite a un usuario crear una lista de todas las bases de datos que tienen una etiqueta con un par de valores clave `{"Owner": "${username}"}`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListDatabases"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
### Enumeración de todas las tablas en una base de datos
El siguiente ejemplo de política permite enumerar todas las tablas de la base de datos `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:ListTables"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/"
}
]
}
```
------
### Creación, descripción, eliminación, actualización y selección de una tabla
El siguiente ejemplo de política permite al usuario crear, describir, eliminar, y actualizar tablas, así como realizar consultas `Select` en la tabla `DevOps` de la base de datos `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:DescribeTable",
"timestream:DeleteTable",
"timestream:UpdateTable",
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
### Límites de una consulta por tabla
El siguiente ejemplo de política permite al usuario consultar todas las tablas excepto `DevOps` en la base de datos `sampleDB`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/*"
},
{
"Effect": "Deny",
"Action": [
"timestream:Select"
],
"Resource": "arn:aws:timestream:us-east-1:111122223333:database/sampleDB/table/DevOps"
}
]
}
```
------
## Secuencia temporal de acceso a los recursos basada en etiquetas LiveAnalytics
Puede utilizar las condiciones de su política basada en la identidad para controlar el acceso a Timestream de los recursos en función de las etiquetas. LiveAnalytics En esta sección se presentan algunos ejemplos.
En el siguiente ejemplo se muestra cómo puede crear una política que conceda permisos a un usuario para ver una tabla si el `Owner` de la tabla contiene el valor del nombre de usuario de ese usuario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadOnlyAccessTaggedTables",
"Effect": "Allow",
"Action": "timestream:Select",
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
También puede asociar esta política al usuario de IAM en su cuenta. Si un usuario llamado `richard-roe` intenta ver la transmisión temporal de una tabla, la LiveAnalytics tabla debe estar etiquetada o. `Owner=richard-roe` `owner=richard-roe` De lo contrario, se le deniega el acceso. La clave de la etiqueta de condición `Owner` coincide con los nombres de las claves de condición `Owner` y `owner` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
La siguiente política concede permisos a un usuario para crear tablas con etiquetas si la etiqueta que se pasa en la solicitud tiene una clave `Owner` y un valor `username`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTagTableUser",
"Effect": "Allow",
"Action": [
"timestream:CreateTable",
"timestream:TagResource"
],
"Resource": "arn:aws:timestream:us-east-2:111122223333:database/mydatabase/table/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:RequestTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
La política siguiente permite el uso de la API `DescribeDatabase`, en cualquier base de datos que tenga la etiqueta `env` establecida en `dev` o `test`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribe",
"Effect": "Allow",
"Action": [
"timestream:DescribeEndpoints",
"timestream:DescribeDatabase"
],
"Resource": "*"
},
{
"Sid": "AllowTagAccessForDevResources",
"Effect": "Allow",
"Action": [
"timestream:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": [
"test",
"dev"
]
}
}
}
]
}
```
------
En esta política, se usa una clave `Condition` para permitir que una etiqueta que tiene la clave `env` y un valor de `test`, `qa` o `dev` se añada a un recurso.
## Consultas programadas
### Listar, eliminar, actualizar y ejecutar ScheduledQuery
La siguiente política de ejemplo permite a un usuario enumerar, eliminar, actualizar y ejecutar consultas programadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"timestream:DeleteScheduledQuery",
"timestream:ExecuteScheduledQuery",
"timestream:UpdateScheduledQuery",
"timestream:ListScheduledQueries",
"timestream:DescribeEndpoints"
],
"Resource": "*"
}
]
}
```
------
### CreateScheduledQuery mediante una clave KMS gestionada por el cliente
El siguiente ejemplo de política permite al usuario crear una consulta programada cifrada mediante una clave KMS administrada por el cliente;**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::123456789012:role/ScheduledQueryExecutionRole"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:CreateScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### DescribeScheduledQuery utilizando una clave KMS administrada por el cliente
El siguiente ejemplo de política permite al usuario describir una consulta programada que se creó con una clave KMS administrada por el cliente;**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"timestream:DescribeScheduledQuery",
"timestream:DescribeEndpoints"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
}
]
}
```
------
### Permisos de función de ejecución (mediante una clave KMS administrada por el cliente para las consultas programadas y SSE-KMS para los informes de errores)
Adjunte el siguiente ejemplo de política al rol de IAM que se especifica en el parámetro `ScheduledQueryExecutionRoleArn` de la API `CreateScheduledQuery` que usa la clave KMS administrada por el cliente para el cifrado de consultas programadas y el cifrado `SSE-KMS` para los informes de errores.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-west-2:123456789012:key/",
"Effect": "Allow"
},
{
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/",
"arn:aws:kms:us-west-2:123456789012:key/"
],
"Effect": "Allow"
},
{
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:us-west-2:123456789012:scheduled-query-notification-topic-*"
],
"Effect": "Allow"
},
{
"Action": [
"timestream:Select",
"timestream:SelectValues",
"timestream:WriteRecords"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject",
"s3:GetBucketAcl"
],
"Resource": [
"arn:aws:s3:::scheduled-query-error-bucket",
"arn:aws:s3:::scheduled-query-error-bucket/*"
],
"Effect": "Allow"
}
]
}
```
------
### Relación de confianza del rol de ejecución
La siguiente es la relación de confianza para el rol de IAM que se especifica en el parámetro `ScheduledQueryExecutionRoleArn` de la API `CreateScheduledQuery`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"timestream.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Cómo permitir el acceso a todas las consultas programadas creadas en una cuenta
Adjunte el siguiente ejemplo de política a la función de IAM especificada en el `ScheduledQueryExecutionRoleArn` parámetro de la `CreateScheduledQuery` API para permitir el acceso a todas las consultas programadas creadas en una cuenta*Account\$1ID*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/*"
}
}
}
]
}
```
------
### Cómo permitir el acceso a todas las consultas programadas con un nombre específico
Adjunta el siguiente ejemplo de política a la función de IAM especificada en el `ScheduledQueryExecutionRoleArn` parámetro de la `CreateScheduledQuery` API para permitir el acceso a todas las consultas programadas con un nombre que comience por*Scheduled\$1Query\$1Name*, dentro de la cuenta. *Account\$1ID*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "timestream.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "Account_ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:timestream:us-west-2:111122223333:scheduled-query/Scheduled_Query_Name*"
}
}
}
]
}
```
------
# Solución de problemas de identidad y acceso en Amazon Timestream LiveAnalytics
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con Timestream para IAM. LiveAnalytics
**Topics**
+ [
## No estoy autorizado a realizar ninguna acción en Timestream para LiveAnalytics
](#security_iam_troubleshoot-no-permissions)
+ [
## No estoy autorizado a realizar un iam: PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mi Timestream para obtener recursos LiveAnalytics
](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en Timestream para LiveAnalytics
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
El siguiente ejemplo de error se produce cuando el usuario de `mateojackson` IAM intenta utilizar la consola para ver los detalles de una tabla*table*, pero no tiene `timestream:Select` permisos para acceder a ella.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: timestream:Select on resource: mytable
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `mytable` mediante la acción `timestream:Select`.
## No estoy autorizado a realizar un iam: PassRole
Si recibes un mensaje de error que indica que no estás autorizado a realizar la `iam:PassRole` acción, debes actualizar tus políticas para que puedas transferir una función a Timestream. LiveAnalytics
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada al servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Timestream for. LiveAnalytics Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mi Timestream para obtener recursos LiveAnalytics
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Timestream for LiveAnalytics admite estas funciones, consulte. [Cómo funciona Amazon Timestream for con IAM LiveAnalytics](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Registro y supervisión en Timestream para LiveAnalytics
El monitoreo es una parte importante del mantenimiento de la confiabilidad, la disponibilidad y el rendimiento de Timestream para LiveAnalytics y sus soluciones. AWS Debe recopilar los datos de supervisión de todas las partes de la AWS solución para poder depurar más fácilmente una falla multipunto en caso de que se produzca. Sin embargo, antes de empezar a monitorear Timestream LiveAnalytics, debe crear un plan de monitoreo que incluya respuestas a las siguientes preguntas:
+ ¿Cuáles son los objetivos de la supervisión?
+ ¿Qué recursos va a supervisar?
+ ¿Con qué frecuencia va a supervisar estos recursos?
+ ¿Qué herramientas de supervisión va a utilizar?
+ ¿Quién se encargará de realizar las tareas de supervisión?
+ ¿Quién debería recibir una notificación cuando surjan problemas?
El siguiente paso es establecer una línea base para el flujo temporal normal del LiveAnalytics rendimiento en su entorno, midiendo el rendimiento en distintos momentos y bajo diferentes condiciones de carga. A medida que supervise Timestream LiveAnalytics, almacene los datos de supervisión históricos para poder compararlos con los datos de rendimiento actuales, identificar los patrones de rendimiento normales y las anomalías de rendimiento, y diseñar métodos para abordar los problemas.
Para establecer un punto de referencia debe, como mínimo, monitorizar los elementos siguientes:
+ Los errores del sistema, para poder determinar si alguna solicitud ha dado lugar a un error.
**Topics**
+ [
# Herramientas de supervisión
](monitoring-automated-manual.md)
+ [
# Registrar la transmisión temporal de las llamadas a la LiveAnalytics API con AWS CloudTrail
](logging-using-cloudtrail.md)
# Herramientas de supervisión
AWS proporciona varias herramientas que puede utilizar para supervisar Timestream. LiveAnalytics Puede configurar algunas de estas herramientas para que monitoricen por usted, pero otras herramientas requieren intervención manual. Le recomendamos que automatice las tareas de monitorización en la medida de lo posible.
**Topics**
+ [
## Herramientas de monitoreo automatizadas
](#monitoring-automated_tools)
+ [
## Herramientas de monitoreo manuales
](#monitoring-manual-tools)
## Herramientas de monitoreo automatizadas
Puede utilizar las siguientes herramientas de supervisión automática para vigilar Timestream LiveAnalytics e informar cuando algo vaya mal:
+ **Amazon CloudWatch Alarms**: observe una sola métrica durante un período de tiempo que especifique y realice una o más acciones en función del valor de la métrica en relación con un umbral determinado durante varios períodos de tiempo. La acción es una notificación enviada a un tema del Servicio de Notificación Simple (Amazon SNS) o a una política de Amazon EC2 Auto Scaling. CloudWatch las alarmas no invocan acciones simplemente porque se encuentran en un estado determinado; el estado debe haber cambiado y se ha mantenido durante un número específico de períodos. Para obtener más información, consulte [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md).
## Herramientas de monitoreo manuales
Otra parte importante de la supervisión de Timestream LiveAnalytics consiste en supervisar manualmente los elementos que las CloudWatch alarmas no cubren. Los Consola de administración de AWS paneles Timestream for LiveAnalytics, CloudWatch Trusted Advisor, y otros proporcionan una at-a-glance vista del estado de su entorno. AWS
+ La página de CloudWatch inicio muestra lo siguiente:
+ Alarmas y estado actual
+ Gráficos de alarmas y recursos
+ Estado de los servicios
Además, se puede utilizar CloudWatch para hacer lo siguiente:
+ Crear [paneles personalizados](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html) para monitorizar los servicios que le interesan
+ Realizar un gráfico con los datos de las métricas para resolver problemas y descubrir tendencias
+ Busque y explore todas sus métricas AWS de recursos
+ Crear y editar las alarmas de notificación de problemas
# Registrar la transmisión temporal de las llamadas a la LiveAnalytics API con AWS CloudTrail
Timestream for LiveAnalytics está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio de Timestream for. LiveAnalytics CloudTrail captura la API del lenguaje de definición de datos (DDL) y utiliza Timestream como eventos. LiveAnalytics Las llamadas que se capturan incluyen las llamadas del Timestream para la LiveAnalytics consola y las llamadas en código al Timestream para las operaciones de la API. LiveAnalytics Si crea un registro, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon Simple Storage Service (Amazon S3), incluidos los eventos de Timestream for. LiveAnalytics **Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el historial de eventos.** Con la información recopilada por usted CloudTrail, puede determinar la solicitud que se realizó a Timestream LiveAnalytics, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, consulte la Guía del [AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Cronograma para obtener información en LiveAnalytics CloudTrail
CloudTrail está activado en su AWS cuenta al crear la cuenta. **Cuando se produce una actividad en Timestream for LiveAnalytics, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos.** Se puede ver, buscar y descargar los últimos eventos de la cuenta de AWS . Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
**aviso**
Actualmente, Timestream for LiveAnalytics genera CloudTrail eventos para todas las operaciones de administración y `Query` API, pero no genera eventos para `WriteRecords` y. `DescribeEndpoints` APIs
Para tener un registro continuo de los eventos de tu AWS cuenta, incluidos los eventos de Timestream LiveAnalytics, crea un registro. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando crea una ruta en la consola, la ruta se aplica a todas AWS las regiones. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos.
Para obtener más información, consulte los siguientes temas en la *Guía del usuario de AWS CloudTrail *:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Integraciones y servicios compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)
+ [Recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [Registrar eventos de datos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM)
+ si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado
+ Si la solicitud la realizó otro servicio AWS
Para obtener más información, consulte el [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
Para los eventos de la API `Query`:
+ Cree una ruta que reciba todos los eventos o seleccione los eventos con Timestream como tipo `AWS::Timestream::Database` de LiveAnalytics recurso o. `AWS::Timestream::Table`
+ `Query`Las solicitudes de API que no acceden a ninguna base de datos o tabla o que dan lugar a una excepción de validación debido a una cadena de consulta mal formada se registran CloudTrail con un tipo de recurso `AWS::Timestream::Database` y un valor de ARN de:
```
arn:aws:timestream:(region):(accountId):database/NO_RESOURCE_ACCESSED
```
Estos eventos se envían solo a las rutas que reciben eventos con un tipo de recurso `AWS::Timestream::Database`.
# Resiliencia de Amazon Timestream Live Analytics
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
[Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Para obtener información sobre la funcionalidad de protección de datos de Timestream disponible en AWS Backup, consulte. [Trabajando con AWS Backup](backups.md)
# Seguridad de la infraestructura en Amazon Timestream Live Analytics
Como servicio gestionado, Amazon Timestream Live Analytics está protegido por los procedimientos de seguridad de red global que se describen en AWS el documento técnico [Amazon Web Services: Overview of](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf) Security Processes.
Utiliza las llamadas a la API AWS publicadas para acceder a Timestream Live Analytics a través de la red. Los clientes deben ser compatibles con la seguridad de la capa de transporte (TLS) 1.0 o una versión posterior. Recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Timestream Live Analytics está diseñado de manera que el tráfico esté aislado en la AWS región específica en la que reside la instancia de Timestream Live Analytics.
# Configuración y análisis de vulnerabilidades en Timestream
La configuración y los controles de TI son una responsabilidad compartida entre usted AWS y usted, nuestro cliente. Para obtener más información, consulte el [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/). Además del modelo de responsabilidad compartida, Timestream para LiveAnalytics los usuarios debe tener en cuenta lo siguiente:
+ Es responsabilidad del cliente colocar parches a sus aplicaciones cliente con las dependencias relevantes del lado del cliente.
+ Los clientes deberían considerar la posibilidad de realizar pruebas de penetración, si procede (consulte las pruebas de [https://aws.amazon.com/security/penetración/](https://aws.amazon.com/security/penetration-testing/).)
# Respuesta a incidentes en Timestream para LiveAnalytics
Los incidentes de Amazon Timestream LiveAnalytics para el servicio se indican en el Personal Health [Dashboard](https://phd.aws.amazon.com/phd/home#/). [Puede obtener más información sobre el panel de control aquí. AWS Health](https://docs.aws.amazon.com//health/latest/ug/what-is-aws-health.html)
Timestream for LiveAnalytics admite el uso de informes. AWS CloudTrail Para obtener más información, consulte [Registrar la transmisión temporal de las llamadas a la LiveAnalytics API con AWS CloudTrail](logging-using-cloudtrail.md).
# Puntos de conexión de VPC (AWS PrivateLink)
*Puede establecer una conexión privada entre su VPC y Amazon Timestream LiveAnalytics mediante la creación de un punto de enlace de VPC de interfaz.* Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de forma privada a Timestream LiveAnalytics APIs sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión Direct AWS Connect. [AWS PrivateLink](https://aws.amazon.com/privatelink) Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con Timestream. LiveAnalytics APIs El tráfico entre tu VPC y Timestream for LiveAnalytics no sale de la red de Amazon.
Cada punto de conexión de la interfaz está representado por una o más [interfaces de red elásticas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) en las subredes. *Para obtener más información sobre los puntos de enlace de VPC de interfaz, consulte los puntos de enlace de [VPC de interfaz () en AWS PrivateLink la Guía del](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) usuario de Amazon VPC.*
Para empezar con Timestream para puntos de enlace de LiveAnalytics VPC, hemos proporcionado información sobre consideraciones específicas para Timestream para puntos de enlace de VPC, cómo crear un punto de enlace de LiveAnalytics VPC de interfaz para Timestream para, cómo crear una política de puntos de enlace de VPC para Timestream para LiveAnalytics y cómo usar el cliente de Timestream LiveAnalytics (para el SDK de escritura o consulta) con puntos de enlace de VPC.
**Topics**
+ [
# Cómo funcionan los puntos de conexión de VPC con Timestream
](VPCEndpoints.vpc-endpoint-considerations.md)
+ [
# Creación de un punto final de VPC de interfaz para Timestream para LiveAnalytics
](VPCEndpoints.vpc-endpoint-create.md)
+ [
# Crear una política de puntos de conexión de VPC para Timestream para LiveAnalytics
](VPCEndpoints.vpc-endpoint-policy.md)
# Cómo funcionan los puntos de conexión de VPC con Timestream
Al crear un punto de conexión de VPC para acceder al SDK Timestream Write o Timestream Query, todas las solicitudes se enrutan a puntos de conexión de la red de Amazon y no acceden a la Internet pública. Más específicamente, sus solicitudes se envían a los puntos de conexión de escritura y consulta de la celda a la que se mapeó su cuenta para una región determinada. Para obtener más información sobre la arquitectura celular de Timestream y los puntos de conexión específicos de cada celda, puede consultar [Arquitectura móvil](architecture.md#cells). Por ejemplo, supongamos que su cuenta se mapeó a `cell1` en `us-west-2` y que ha configurado los puntos de conexión de la interfaz de VPC para las escrituras (`ingest-cell1.timestream.us-west-2.amazonaws.com`) y las consultas (`query-cell1.timestream.us-west-2.amazonaws.com`). En este caso, las solicitudes de escritura enviadas a través de estos puntos de conexión permanecerán por completo dentro de la red de Amazon y no accederán a la red pública de Internet.
## Consideraciones sobre los puntos de conexión de VPC de Timestream
Tenga en cuenta lo siguiente al crear un punto de conexión de VPC para Timestream:
+ Antes de configurar un punto de enlace de VPC de interfaz para Timestream LiveAnalytics, asegúrese de revisar las [propiedades y limitaciones del punto de enlace de interfaz en](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) la Guía del usuario de Amazon *VPC*.
+ Timestream for LiveAnalytics admite la realización de llamadas a [todas sus acciones de API desde su](https://docs.aws.amazon.com/timestream/latest/developerguide/API_Reference.html) VPC.
+ Las políticas de puntos de conexión de VPC son compatibles con Timestream for. LiveAnalytics De forma predeterminada, se permite el acceso total a Timestream for LiveAnalytics a través del punto final. Para más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
+ Debido a la arquitectura de Timestream, el acceso a las acciones Write y Query requiere la creación de dos puntos de conexión de interfaz de VPC, uno para cada SDK. Además, debe especificar un punto de conexión de celda (solo podrá crear un punto de conexión para la celda de Timestream a la que esté mapeado). Encontrará información detallada en la LiveAnalytics sección [Crear un punto final de VPC de interfaz para Timestream de esta guía](VPCEndpoints.vpc-endpoint-create.md).
Ahora que sabe cómo LiveAnalytics funciona Timestream for con los puntos de enlace de VPC, cree [un punto de enlace de VPC de interfaz](VPCEndpoints.vpc-endpoint-create.md) para Timestream for. LiveAnalytics
# Creación de un punto final de VPC de interfaz para Timestream para LiveAnalytics
Puede crear un [punto de enlace de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) para el LiveAnalytics servicio Timestream for mediante la consola Amazon VPC o el (). AWS Command Line Interface AWS CLI Para crear un punto de conexión de VPC para Timestream, complete los pasos específicos de Timestream que se describen a continuación.
**nota**
Antes de completar los pasos que se indican a continuación, asegúrese de comprender las [consideraciones específicas de los puntos de conexión de VPC de Timestream](VPCEndpoints.vpc-endpoint-considerations.md).
## Creación de un nombre de servicio de punto de conexión de VPC con su celda Timestream
Debido a la arquitectura única de Timestream, se deben crear puntos de conexión de interfaz de VPC independientes para cada SDK (Write and Query). Además, debe especificar un punto de conexión de celda de Timestream (solo podrá crear un punto de conexión para la celda de Timestream a la que esté mapeado). Para usar los puntos de conexión de VPC de interfaz para conectarse directamente a Timestream desde su VPC, complete los pasos que se indican a continuación:
1. En primer lugar, busque un punto de conexión de celda de Timestream disponible. Para encontrar un punto de enlace de celda disponible, utilice la [`DescribeEndpoints`acción](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html) (disponible mediante escritura y consulta APIs) para enumerar los puntos de enlace de celda disponibles en su cuenta de Timestream. Consulte el [ejemplo](#VPCEndpoints.vpc-endpoint-create.vpc-endpoint-name.example) para obtener más información.
1. Una vez que haya seleccionado el punto de conexión de celda que desee usar, cree una cadena de punto de conexión de la interfaz de VPC para la API Write o Query de Timestream:
+ *Para la API Write:*
```
com.amazonaws..timestream.ingest-
```
+ *Para la API Query:*
```
com.amazonaws..timestream.query-
```
[donde ** hay un [código de AWS región válido](https://docs.aws.amazon.com/general/latest/gr/rande.html) y ** es una de las direcciones de punto final de la celda (por ejemplo, `cell1` o`cell2`) devueltas en el [objeto Endpoints](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html#API_query_DescribeEndpoints_ResponseSyntax) por la acción. DescribeEndpoints ](https://docs.aws.amazon.com/timestream/latest/developerguide/API_query_DescribeEndpoints.html) Consulte el [ejemplo](#VPCEndpoints.vpc-endpoint-create.vpc-endpoint-name.example) para obtener más información.
1. Ahora que ha creado un nombre de servicio de punto de conexión de VPC, [cree un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). Cuando se le pida que proporcione un nombre de servicio de punto de conexión de VPC, use el que creó en el paso 2.
### Ejemplo: creación del nombre de servicio del punto de conexión de VPC
En el siguiente ejemplo, la `DescribeEndpoints` acción se ejecuta en la AWS CLI mediante la API de escritura de la `us-west-2` región:
```
aws timestream-write describe-endpoints --region us-west-2
```
Este comando devuelve la siguiente salida:
```
{
"Endpoints": [
{
"Address": "ingest-cell1.timestream.us-west-2.amazonaws.com",
"CachePeriodInMinutes": 1440
}
]
}
```
En este caso, *cell1* es el *| * y *us-west-2* es el**. Por lo tanto, el nombre de servicio del punto de conexión de VPC resultante tendrá el siguiente aspecto:
```
com.amazonaws.us-west-2.timestream.ingest-cell1
```
Ahora que ha creado un punto de enlace de VPC de interfaz para Timestream, LiveAnalytics cree [una política de punto final de VPC](VPCEndpoints.vpc-endpoint-policy.md) para Timestream for. LiveAnalytics
# Crear una política de puntos de conexión de VPC para Timestream para LiveAnalytics
Puede adjuntar una política de punto final a su punto final de VPC que controle el acceso a Timestream para. LiveAnalytics La política especifica la siguiente información:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para más información, consulte [Control del acceso a los servicios con puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
**Ejemplo: política de puntos finales de VPC para Timestream for actions LiveAnalytics**
El siguiente es un ejemplo de una política de punto final para Timestream for. LiveAnalytics Cuando se adjunta a un punto final, esta política otorga acceso al Timestream indicado para LiveAnalytics realizar acciones (en este caso [https://docs.aws.amazon.com/timestream/latest/developerguide/API_ListDatabases.html](https://docs.aws.amazon.com/timestream/latest/developerguide/API_ListDatabases.html)) a todos los directores de todos los recursos.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"timestream:ListDatabases"
],
"Resource":"*"
}
]
}
```
# Prácticas recomendadas de seguridad para Amazon Timestream para LiveAnalytics
Amazon Timestream LiveAnalytics for proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, plantéeselas como consideraciones útiles en lugar de como normas.
**Topics**
+ [
# Cronograma para las mejores prácticas de seguridad preventiva LiveAnalytics
](best-practices-security-preventative.md)
# Cronograma para las mejores prácticas de seguridad preventiva LiveAnalytics
Las siguientes prácticas recomendadas pueden ayudarle a anticipar y prevenir los incidentes de seguridad en Timestream for. LiveAnalytics
**Cifrado en reposo**
[Timestream for LiveAnalytics cifra en reposo todos los datos de usuario almacenados en tablas mediante claves de cifrado almacenadas en ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Esto proporciona una capa adicional de protección de datos al proteger los datos del acceso no autorizado al almacenamiento subyacente.
Timestream for LiveAnalytics utiliza una única clave predeterminada del servicio (AWS propiedad de CMK) para cifrar todas las tablas. Si esta clave no existe, se crea una para usted. Las claves predeterminadas de servicio no se pueden deshabilitar. Para obtener más información, consulte [Timestream](https://docs.aws.amazon.com/mcs/latest/devguide/EncryptionAtRest.html) for Encryption at Rest. LiveAnalytics
**Utilice las funciones de IAM para autenticar el acceso a Timestream para LiveAnalytics**
Para que los usuarios, las aplicaciones y otros AWS servicios puedan acceder a Timestream LiveAnalytics, deben incluir credenciales válidas AWS en sus solicitudes de API. AWS No debe almacenar AWS las credenciales directamente en la aplicación o en la instancia de EC2. Estas son las credenciales a largo plazo que no rotan automáticamente, por lo tanto, podrían tener un impacto empresarial significativo si se comprometen. Un rol de IAM lo habilita a obtener claves de acceso temporal que se pueden utilizar para tener acceso a los servicios y recursos de AWS .
Para obtener más información, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Utilice las políticas de IAM para Timestream como autorización básica LiveAnalytics **
Al conceder permisos, usted decide quién los obtiene, para qué Timestream los va LiveAnalytics APIs a obtener y las acciones específicas que quiere permitir en esos recursos. La implementación de privilegios mínimos es la clave a la hora de reducir los riesgos de seguridad y el impacto que podrían causar los errores o los intentos malintencionados.
Adjunte políticas de permisos a las identidades de IAM (es decir, usuarios, grupos y roles) y, de este modo, conceda permisos para realizar operaciones en Timestream con respecto a los recursos. LiveAnalytics
Para hacerlo, utilice lo siguiente:
+ [AWS políticas gestionadas (predefinidas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
+ [autorización basada en etiquetas](security_iam_service-with-iam.md#security_iam_service-with-iam-tags)
**Tenga en cuenta el cifrado del lado del cliente**
Si almacena datos sensibles o confidenciales en Timestream LiveAnalytics, puede que desee cifrarlos lo más cerca posible de su origen para que estén protegidos durante todo su ciclo de vida. El cifrado de su información confidencial en tránsito y en reposo ayuda a garantizar que los datos de texto no cifrado no estén disponibles para ningún tercero. | | | |