AWS SupportGuía del usuario

Versión de API 2013-04-15

AWS Support Guía del usuario

AWS Support: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

AWS Support Guía del usuario

Table of ContentsIntroducción a AWS Support ................................................................................................................ 1

Características de planes de AWS Support .................................................................................... 1Administración de casos .............................................................................................................. 2

Ejemplo: Creación de un caso .............................................................................................. 2Monitorización y mantenimiento del caso ............................................................................... 7Historial de casos ............................................................................................................... 8

Acceso a AWS Support ............................................................................................................... 8Cuenta de AWS ................................................................................................................. 8IAM .................................................................................................................................. 8

AWS Trusted Advisor .................................................................................................................. 9Solución de problemas ................................................................................................................ 9

Solución de problemas específicos de servicio ...................................................................... 10Acerca de la API de AWS Support ...................................................................................................... 12

Administración de casos de soporte ............................................................................................ 12Trusted Advisor ........................................................................................................................ 12Punto de enlace ....................................................................................................................... 13Soporte en SDK de AWS ........................................................................................................... 13

Programación de un caso de AWS Support .......................................................................................... 14Información general ................................................................................................................... 14

Uso de IAM con la API de AWS Support .............................................................................. 14Creación de un cliente de AWS Support ...................................................................................... 14Descubrir los servicios de AWS y los niveles gravedad del problema ................................................ 15Crear un conjunto de archivos adjuntos ....................................................................................... 16Crear un caso de soporte .......................................................................................................... 17Recuperar y actualizar comunicaciones de casos de soporte ........................................................... 19Recuperar toda la información de caso de soporte ......................................................................... 21Resolver un caso de soporte ...................................................................................................... 22

Uso de roles vinculados a servicios ..................................................................................................... 23Uso de roles vinculados a servicios para AWS Support .................................................................. 23

Permisos de roles vinculados a servicios para AWS Support ................................................... 24Creación de una función vinculada a servicios para AWS Support ............................................ 24Edición y eliminación de un rol vinculado a servicio para AWS Support ..................................... 24

Uso de roles vinculados a servicios para Trusted Advisor ............................................................... 25Permisos de roles vinculados a servicios para Trusted Advisor ................................................ 25Creación de una función vinculada a servicios para Trusted Advisor ......................................... 27Edición de una función vinculada a un servicio para Trusted Advisor ......................................... 27Eliminación de un rol vinculado a un servicio para Trusted Advisor ........................................... 27

Uso de Trusted Advisor como servicio web .......................................................................................... 29Obtener la lista de comprobaciones de Trusted Advisor disponibles .................................................. 29Actualizar la lista de comprobaciones de Trusted Advisor disponibles ................................................ 30Sondear una comprobación de Trusted Advisor para cambios de estado ........................................... 30Solicitar un resultado de comprobación de Trusted Advisor ............................................................. 31Imprimir detalles de una comprobación de Trusted Advisor ............................................................. 32

Registro de llamadas a la API de AWS Support con AWS CloudTrail ........................................................ 33Información de AWS Support en CloudTrail .................................................................................. 33Información de AWS Support en el registro de CloudTrail ............................................................... 34Descripción de las entradas de archivos de registro de AWS Support ............................................... 35

Monitorización de Trusted Advisor con Eventos de CloudWatch y CloudWatch ........................................... 36Monitorización de los resultados de la comprobación de Trusted Advisor con Eventos de CloudWatch ..... 36Creación de alarmas de Trusted Advisor con CloudWatch ............................................................... 37

Seguridad ........................................................................................................................................ 39Identity and Access Management ................................................................................................ 39

Público ............................................................................................................................ 40Autenticación con identidades ............................................................................................. 40

Versión de API 2013-04-15iii

AWS Support Guía del usuario

Administración de acceso mediante políticas ......................................................................... 42Funcionamiento de AWS Support con IAM ........................................................................... 43Ejemplos de políticas basadas en identidad .......................................................................... 45Solución de problemas ...................................................................................................... 47

Validación de la conformidad ...................................................................................................... 48Resiliencia ............................................................................................................................... 49Seguridad de la infraestructura ................................................................................................... 49

Historial de revisión ........................................................................................................................... 50AWS Glossary .................................................................................................................................. 52

Versión de API 2013-04-15iv

AWS Support Guía del usuarioCaracterísticas de planes de AWS Support

Introducción a AWS SupportAWS Support ofrece una serie de planes que proporcionan acceso a herramientas y conocimientosque contribuyen al éxito y la salud operativa de sus soluciones de AWS;. Todos los planes de soporteproporcionan acceso ininterrumpido al servicio de atención al cliente, documentación de AWS;,documentos técnicos y foros de ayuda. Para obtener soporte técnico y a recursos adicionales paraplanificar, implementar y mejorar su entorno de AWS, puede seleccionar un plan de soporte técnico acordecon su caso de uso de AWS.

Características de planes de AWS SupportAWS Support ofrece cuatro planes de soporte: Basic, Developer, Business y Enterprise. El plan Basices gratuito y ofrece soporte para preguntas relacionadas con la cuenta y la facturación, así como de loslímites del servicio. Los demás planes ofrecen un número ilimitado de casos de soporte técnico, con pagomensual y sin contratos a largo plazo, que proporcionan el nivel de soporte que satisface sus necesidades.

Todos los clientes de AWS automáticamente tienen acceso 24 horas a estas características del plan desoporte Basic:

• Servicio de atención al cliente: respuestas personalizadas a preguntas relacionadas con cuentas yfacturación

• Foros de soporte• Comprobación es de estado de servicios• Documentación, documentos técnicos y guías de prácticas recomendadas

Los clientes con un plan de soporte Developer tienen acceso a estas características adicionales:

• Orientación sobre prácticas recomendadas• Soporte de arquitectura de componentes básicos: orientación sobre cómo utilizar los productos,

características y servicios de AWS de forma conjunta• AWS Identity and Access Management (p. 8) (IAM) para controlar el acceso de personas a AWS

Support

Además, los clientes con un plan de soporte Business o Enterprise tienen acceso a estas característicasadicionales:

• Orientación sobre casos de uso: qué productos, características y servicios de AWS debe utilizar parasatisfacer mejor sus necesidades específicas

• AWS Trusted Advisor (p. 9), que inspecciona los entornos del cliente. A continuación, TrustedAdvisor identifica las oportunidades para ahorrar dinero, resolver las deficiencias de seguridad y mejorarla fiabilidad y el rendimiento del sistema.

• Una API para interactuar con Support Center y Trusted Advisor. Esta API permite la administraciónautomatizada de casos de soporte y operaciones de Trusted Advisor.

• Soporte para software de terceros: ayuda con la configuración y los sistemas operativos de instanciasde Amazon Elastic Compute Cloud (EC2). Además, ayuda con el rendimiento de los componentes desoftware de terceros más populares en AWS.

Además, los clientes con un plan de soporte Enterprise tienen acceso a estas características adicionales:

Versión de API 2013-04-151

AWS Support Guía del usuarioAdministración de casos

• Orientación sobre la arquitectura de las aplicaciones, asociación de asesoramiento para aplicaciones ycasos de uso específicos.

• Administración de eventos de infraestructura: compromiso a corto plazo con AWS Support para obtenerun conocimiento más profundo de su caso de uso y, tras el análisis, proporcionar orientación sobre eldiseño y el escalado de un evento.

• Director técnicos de cuentas• Atención prioritaria• Revisiones empresariales de la gestión

Para obtener más información detallada sobre las características y los precios de cada plan de soporte,consulte Características de AWS Support y AWS Support. Algunas características, como el soporte 24horas por teléfono y chat, no están disponibles en todos los idiomas.

Administración de casosPuede iniciar sesión en Support Center en https://console.aws.amazon.com/support/home#/ utilizando ladirección de correo electrónico y la contraseña vinculadas a su cuenta de AWS. Para iniciar sesión conotras credenciales, consulte Acceso a AWS Support (p. 8).

Existen tres tipos de casos que puede abrir:

• Los casos de Soporte de cuenta y facturación están disponibles para todos los clientes de AWS. Estetipo de casos le pone en contacto con el servicio de atención al cliente para obtener ayuda sobrepreguntas relacionadas con la facturación y la cuenta.

• Las solicitudes de aumento del límite de servicio también están disponibles para todos los clientes deAWS. Para obtener información acerca de los límites predeterminados de servicios, consulte AWSService Limits.

• Los casos de Soporte técnico le ponen en contacto con el servicio de asistencia técnica para obtenerayuda en cuestiones técnicas y, en algunos casos, aplicaciones de terceros. Si dispone de un plan desoporte Developer, puede comunicarse utilizando la web. Si dispone de un plan de soporte Business oEnterprise, también puede comunicarse por teléfono o chat en directo.

Para abrir un caso de soporte:

• En Support Center, elija el botón Create case (Crear caso).

Ejemplo: Creación de un casoA continuación se muestra un ejemplo de un caso de soporte técnico (se muestra en dos partes paramayor legibilidad). Las lista que se incluye a continuación del ejemplo de formulario explica algunas de lasopciones y prácticas recomendadas.

Versión de API 2013-04-152

AWS Support Guía del usuarioEjemplo: Creación de un caso

• Servicio Si su pregunta afecta a varios servicios, elija el servicio más adecuado. En este caso,seleccione Elastic Compute Cloud (EC2 - Linux).

• Categoría. Elija la categoría que mejor se adapte a su caso de uso. En este caso, estamos teniendoproblemas para conectar a una instancia, por lo que debe elegir Instance Issue (Problema de instancia).Al seleccionar una categoría, debajo de la selección de Category aparecen enlaces a información que lepueden ayudar a resolver el problema.

• Gravedad. Los clientes con un plan de soporte de pago pueden elegir el nivel de gravedad Generalguidance (Orientación general) (respuesta en 1 día) o System impaired (Error del sistema) (tiempode respuesta de 12 horas). Los clientes con un plan de soporte Business también pueden elegirProduction system impaired (respuesta en 4 horas) o Production system down (respuesta en 1 hora).Y los clientes con un plan Enterprise también pueden elegir Business-critical system down (Sistema devital importancia para la empresa inactivo) (respuesta en 15 minutos).

Los tiempos de respuesta se refieren a la primera respuesta de AWS Support. Estos tiempos derespuesta no se aplican a las respuestas posteriores. Para problemas de terceros, los tiempos derespuesta puede ser más largos, en función de la disponibilidad del personal cualificado. Para obtenermás información, consulte Elección de una gravedad (p. 6).

Versión de API 2013-04-153

AWS Support Guía del usuarioEjemplo: Creación de un caso

Note

En función de la elección de categoría, es posible que se le solicite información adicional. Eneste caso, nos pedirá proporcionar Instance ID(s) (ID de instancia). En general, es una buenaidea proporcionar los ID de recurso aunque no se soliciten.

Versión de API 2013-04-154

AWS Support Guía del usuarioEjemplo: Creación de un caso

Versión de API 2013-04-155

AWS Support Guía del usuarioEjemplo: Creación de un caso

• Asunto. Trátelo como el asunto de un mensaje de correo electrónico y describa brevemente el problema.En este caso, utilice el asunto Failed status checks.

• Descripción. Esta es la información más importante que va a proporcionar a AWS Support. Para lamayoría de combinaciones de servicio y categoría, un mensaje sugiere información de mayor utilidadpara agilizar la resolución. Para obtener más orientación, consulte Descripción del problema (p. 7).

• Archivos adjuntos. Capturas de pantalla y otros archivos adjuntos (menos de 5 MB cada uno) puedenresultar de gran utilidad. En este caso, se añade una imagen que muestra la comprobación de estado deerror.

• Métodos de contacto Seleccione un método de contacto. Las opciones varían en función del tipo de casoy su plan de soporte. Si elige Web, puede leer y responder a los avances del caso en Support Center.Si dispone de un plan de soporte Business o Enterprise, también puede seleccionar Chat o Phone. Siselecciona Phone (Teléfono), se solicita un número de devolución de llamada.

• Contactos adicionales. Proporcione las direcciones de correo electrónico de las personas a las que seva enviar una notificación cuando cambie el estado del caso. Si ha iniciado sesión como usuario deIAM, incluya su propia dirección de correo electrónico. Si va a iniciar sesión con su dirección de correoelectrónico y contraseña, no es necesario que incluya su dirección de correo electrónico en este cuadro.

Note

Si tiene el plan de soporte Basic, el cuadro Additional contacts (Contactos adicionales) noestá disponible. Sin embargo, el contacto Operational (Operativo) especificado en la secciónAlternate Contacts (Contactos alternativos) de la página My Account (Mi cuenta) recibe copiasde la correspondencia del caso, pero solo para los tipos de caso específicos de cuenta,facturación y soporte técnico.

• Tipo de caso. Seleccione el tipo de caso que desea crear en los tres cuadros situados en la partesuperior de la página. En este ejemplo, seleccione Technical Support.

Note

Si tiene el plan de soporte Basic, no puede crear un caso de soporte técnico.• Enviar. Elija Submit (Enviar) cuando la información esté completa. Al elegir Submit (Enviar) se crea el

caso.

Elección de una gravedadTal vez desee crear siempre los casos con la gravedad más alta permitida por su plan de soporte. Noobstante, le recomendamos encarecidamente limitar el uso de la gravedad más alta a los casos críticoso que afecten directamente a las aplicaciones de producción. Píenselo con antelación para evitar casosde alta gravedad para preguntas de orientación general. Para obtener información sobre cómo crear susservicios para que la pérdida de recursos no afecte a su aplicación, consulte Crear aplicaciones tolerantesa errores en AWS.

A continuación se muestra un resumen de los niveles de gravedad, tiempos de respuesta y ejemplos deproblemas. Para obtener más información sobre el ámbito de soporte de cada plan de AWS Support,consulte Características de AWS Support. Nota: Hacemos todo lo posible por responder a la solicitud inicialen el plazo indicado.

Gravedad

Tiempo deprimerarespuesta Descripción / Plan de soporte

General guidance 24 horas Tiene una pregunta de desarrollo general o quiere solicitaruna característica. (Planes de soporte Developer*,Business y Enterprise)

Versión de API 2013-04-156

AWS Support Guía del usuarioMonitorización y mantenimiento del caso

Gravedad

Tiempo deprimerarespuesta Descripción / Plan de soporte

System impaired 12 horas Las funciones no críticas de su aplicación tienen uncomportamiento anómalo o tiene una pregunta dedesarrollo prioritaria. (Planes de soporte Developer*,Business y Enterprise)

Production system impaired 4 horas Las funciones importantes de su aplicación se handeteriorado o degradado. (Planes de soporte Business yEnterprise)

Production system down 1 hora Su negocio se ve afectado significativamente. Funcionesimportantes de su aplicación no están disponibles. (Planesde soporte Business y Enterprise)

Business-critical systemdown

15 minutos Su empresa está en riesgo. Funciones críticas desu aplicación no están disponibles. (Plan de soporteEnterprise)

* En el plan Developer, los objetivos de respuesta se calculan en horas laborables. El horario de trabajose define de 8:00 a 18:00 en el país del cliente, como se establece en la información de contacto de MyAccount, excluyendo días festivos y fines de semana. Estos tiempos pueden variar en países con variaszonas horarias. Tenga en cuenta que el horario de soporte técnico en japonés es de 9:00 a 18:00 h.

Descripción del problemaIncluya una descripción lo más detallada posible. Incluya la información pertinente de los recursos, juntocon cualquier otra información que pudiera contribuir a entender el problema. Por ejemplo, para resolverlos problemas de rendimiento, incluya marcas temporales y registros. Para solicitudes de características opreguntas de orientación general, incluya una descripción de su entorno y el propósito. En todos los casos,siga la guía de Descripción orientativa que aparece en el formulario de envío de caso.

Si proporciona la máxima información posible, aumenta la probabilidad de que su caso se pueda resolverrápidamente.

Monitorización y mantenimiento del casoPuede monitorear el estado de su caso en Support Center. Un caso nuevo comienza con el estadoUnassigned. Cuando un ingeniero empieza a trabajar en un caso, el estado cambia a Work inProgress. El ingeniero responde a su caso, ya sea para pedir más información (Pending CustomerAction) o para informarle de que el caso se está investigando (Pending Amazon Action).

Cuando el caso se actualiza, recibe un correo electrónico con la correspondencia y un enlace del caso enSupport Center; no puede responder a la correspondencia del caso por correo electrónico. Cuando estésatisfecho con la respuesta o el problema esté solucionado, puede seleccionar Close Case (Cerrar caso)en Support Center. Si no responde en un plazo de diez días, el caso se cierra automáticamente. Siemprepuede reabrir un caso resuelto o cerrado.

Asegúrese de crear un nuevo caso para un nuevo problema o pregunta. Si la correspondencia del caso sedesvía de la pregunta o problema original, un ingeniero de soporte puede pedirle que abra un nuevo caso.Si abre un caso relacionado con antiguas consultas, incluya (si es posible) el número de caso relacionadopara que podamos consultar la correspondencia anterior.

Versión de API 2013-04-157

AWS Support Guía del usuarioHistorial de casos

Historial de casosLa información del historial de casos está disponible durante 12 meses a partir de la fecha de creación.

Acceso a AWS SupportHay dos formas de acceder a Support Center:

• Usar la dirección de correo electrónico y la contraseña asociadas a su cuenta de AWS• Usar AWS Identity and Access Management (preferido)

Los clientes con un plan de soporte Business o Enterprise pueden acceder a operaciones de AWS Supporty Trusted Advisor de manera programática utilizando la API de AWS Support (p. 12).

Cuenta de AWSPuede utilizar la información de su cuenta de AWS para acceder a Support Center. Inicie sesión en https://console.aws.amazon.com/support/home#/ y, a continuación, escriba su dirección de correo electrónico ycontraseña. No obstante, evite utilizar este método en la medida de lo posible. En su lugar, use IAM. Paraobtener más información, consulte Proteger las claves de acceso de usuario raíz de su cuenta de AWS.

IAMPuede utilizar IAM para crear usuarios individuales o grupos y, a continuación, proporcionarles permisospara realizar acciones y acceder a los recursos en Support Center.

Note

Los usuarios de IAM a los que se concede acceso a Soporte pueden ver todos los casos creadospara la cuenta.

De forma predeterminada, los usuarios de IAM no pueden obtener acceso al Support Center. Puedeconceder a los usuarios acceso a los recursos de soporte de su cuenta (casos de Support Center y la APIde AWS Support), asociando políticas de IAM a usuarios, grupos o roles. Para obtener más información,consulte el tema sobre usuarios y grupos de IAM y sobre información general de políticas de IAM de AWS.

Después de crear los usuarios de IAM, puede asignarles contraseñas. De ese modo, podrán iniciar sesiónen la cuenta y trabajar en Support Center a través de una página de inicio de sesión específica de lacuenta. Para obtener más información, consulte Cómo inician sesión los usuarios de IAM en la cuenta deAWS.

La forma más sencilla de conceder permisos es asociar la política administrada de AWSAWSSupportAccess al usuario, grupo o rol. El soporte incluye permisos en el nivel de acciones paraacceder a operaciones de soporte específicas. No obstante, no proporciona acceso en el nivel de recursos,por lo que el elemento Resource siempre está establecido en *. Un usuario de IAM con permisos deSoporte tiene acceso a todas las operaciones y recursos de Soporte.

Por ejemplo, esta instrucción de política concede a un usuario de IAM acceso a Soporte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow",

Versión de API 2013-04-158

AWS Support Guía del usuarioAWS Trusted Advisor

"Action": "support:*", "Resource": "*" }]}

Esta instrucción de política permite a un usuario de IAM hacer todo, excepto resolver un caso:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "support:", "Resource": "*" }, { "Effect": "Deny", "Action": "support:ResolveCase", "Resource": "*" }]}

Si el usuario o grupo ya tiene una política, puede agregar a dicha política la instrucción que se ilustra aquíy que es específica de Soporte.

Note

El acceso a Trusted Advisor en la Consola de administración de AWS se controla medianteun espacio de nombres de IAM trustedadvisor. El acceso a Trusted Advisor con la API deAWS Support se controla mediante el espacio de nombres de IAM support. Para obtener másinformación, consulte la sección sobre control de acceso a la consola de Trusted Advisor.

AWS Trusted AdvisorAWS Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de miles declientes de AWS. Trusted Advisor inspecciona su entorno AWS y realiza recomendaciones cuando surgela oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar a cerrardeficiencias de seguridad. Todos los clientes de AWS tienen acceso a cinco comprobaciones de TrustedAdvisor. Los clientes con un plan de soporte Business o Enterprise pueden ver todas las comprobacionesde Trusted Advisor. Para obtener más información, consulte AWS Trusted Advisor.

Para obtener información acerca de cómo utilizar Amazon CloudWatch Events para monitorear el estadode las comprobaciones de Trusted Advisor, consulte Monitorización de los resultados de la comprobaciónde Trusted Advisor con Amazon CloudWatch Events (p. 36).

Los clientes pueden acceder a Trusted Advisor en la Consola de administración de AWS. El accesomediante programación a Trusted Advisor está disponible con la API de AWS Support (p. 12).

Solución de problemasPara obtener respuestas a las preguntas sobre resolución de problemas comunes, consulte el centro deconocimientos de AWS Support.

En el caso de Windows, Amazon EC2 ofrece EC2Rescue, que permite a los clientes examinar susinstancias de Windows para ayudar a identificar problemas comunes, recopilar archivos de registroy ayudar a AWS Supportsolucionar problemas. También puede utilizar EC2Rescue para analizar los

Versión de API 2013-04-159

AWS Support Guía del usuarioSolución de problemas específicos de servicio

volúmenes de arranque de las instancias no funcionales. Para obtener más información, consulte ¿Cómopuedo utilizar EC2Rescue para solucionar y resolver problemas comunes en mi instancia EC2 Windows?

Solución de problemas específicos de servicioLa mayoría de la documentación de servicios de AWS contiene temas de resolución de problemas quepuede consultar antes de ponerse en contacto con Soporte. La siguiente tabla proporciona enlaces atemas de resolución de problemas, organizados por servicio.

Servicio Enlace

Amazon Web Services Solución de problemas de AWS Signature, versión 4

Amazon AppStream Solución de problemas de Amazon AppStream

Amazon EC2 Auto Scaling Solución de problemas de Auto Scaling

AWS Certificate Manager (ACM) Solución de problemas

AWS CloudFormation Solución de problemas de AWS CloudFormation

Amazon CloudFront Solución de problemas | Solución de problemas de DistribucionesRTMP

AWS CloudHSM Solución de problemas

Amazon CloudSearch Solución de problemas de Amazon CloudSearch

AWS CodeDeploy Solución de problemas de AWS CodeDeploy

AWS Data Pipeline Solución de problemas

AWS Direct Connect Solución de problemas de AWS Direct Connect

AWS Directory Service Resolución de problemas de administración del AWS DirectoryService

Amazon DynamoDB Solución de problemas

AWS Elastic Beanstalk Solución de problemas

Amazon Elastic Compute Cloud(Amazon EC2)

Solución de problemas de instancias | Solución de problemas deinstancias de Windows | Solución de problemas de VM Import/Export | Solución de errores de solicitudes de API | Solución deproblemas de AWS Management Pack | Solución de problemasde Administrador de sistemas de AWS para Microsoft SCVMM |Diagnóstico de AWS para Microsoft Windows Server

Amazon Elastic ContainerService (Amazon ECS)

Solución de problemas de Amazon ECS

Elastic Load Balancing Solución de problemas de Application Load Balancer | Solución deproblemas de Classic Load Balancer

Amazon EMR (Amazon EMR) Solucionar problemas de un clúster

Amazon ElastiCache forMemcached

Solución de problemas de aplicaciones

Amazon ElastiCache para Redis Solución de problemas de aplicaciones

Versión de API 2013-04-1510

AWS Support Guía del usuarioSolución de problemas específicos de servicio

Servicio Enlace

AWS Flow Framework Solución de problemas de y sugerencias de depuración

AWS GovCloud (US) Solución de problemas

AWS Identity and AccessManagement (IAM)

Solución de problemas de IAM

Kinesis Solución de problemas de productores de Amazon Kinesis Streams| Solución de problemas de consumidores de Amazon KinesisStreams

AWS Lambda Solución de problemas y monitorización de funciones de AWSLambda con CloudWatch

AWS OpsWorks Guía de depuración y solución de problemas

Amazon Redshift Solución de problemas de consultas | Solución de problemas decargas de datos | Solución de problemas de conexión en AmazonRedshift | Solución de problemas de registros de auditoría deAmazon Redshift

Amazon Relational DatabaseService (Amazon RDS)

Solución de problemas | Solución de problemas de aplicaciones

Amazon Route 53 Solución de problemas de Amazon Route 53

Amazon Silk Solución de problemas

Amazon Simple Email Service(Amazon SES)

Solución de problemas de Amazon SES

Amazon Simple Storage Service(Amazon S3)

Solución de problemas de CORS | Gestión de errores de REST ySOAP

Amazon Simple WorkflowService (Amazon SWF)

AWS Flow Framework para Java: Solución de problemas ysugerencias de depuración | AWS Flow Framework para Ruby:Solución de problemas y sugerencias de depuración

AWS Storage Gateway Solución de problemas de la puerta de enlace

Amazon Virtual Private Cloud(Amazon VPC)

Solución de problemas

Amazon WorkMail Solución de problemas de la aplicación web Amazon WorkMail

Amazon WorkSpaces Solución de problemas de administración de Amazon WorkSpaces |Solución de problemas de cliente de Amazon WorkSpaces

Amazon WorkSpaces ApplicationManager (Amazon WAM)

Solución de problemas de aplicaciones en Amazon WAM

Versión de API 2013-04-1511

AWS Support Guía del usuarioAdministración de casos de soporte

Acerca de la API de AWS SupportLa API de AWS Supportproporciona acceso a algunas de las características del Centro de AWS Support.AWS proporciona este acceso para clientes de AWS Support que tengan un plan de soporte Business oEnterprise.

En la actualidad, el servicio ofrece dos grupos de operaciones diferentes:

• Operaciones de Administración de casos de soporte (p. 12) para administrar todo el ciclo de vida desus casos de soporte de AWS, desde la creación de un caso hasta su resolución.

• Operaciones Trusted Advisor (p. 12) para acceder a las comprobaciones proporcionadas por AWSTrusted Advisor.

Para obtener más información sobre las operaciones y los tipos de datos proporcionados por AWSSupport, consulte la AWS Support API Reference.

Temas• Administración de casos de soporte (p. 12)• Trusted Advisor (p. 12)• Punto de enlace (p. 13)• Soporte en SDK de AWS (p. 13)

Administración de casos de soporteUtilizando las operaciones para la gestión de casos de soporte, puede realizar estas tareas:

• Abrir un caso de soporte.• Obtener una lista e información detallada sobre los casos de soporte recientes.• Reducir la búsqueda de casos de soporte por fechas e identificadores de casos, incluidos casos que se

han resuelto.• Añadir comunicaciones y archivos adjuntos a los casos y añadir a destinatarios de correo para

correspondencia de los casos.• Resolver sus casos.

La API de AWS Support es compatible con los registros de CloudTrail para operaciones de gestión decasos de soporte. Para obtener más información, consulte Registro de llamadas a la API de AWS Supportcon AWS CloudTrail (p. 33).

Por ejemplo el código Java que muestra cómo administrar todo el ciclo de vida de un caso de AWSSupport, consulte Programación de un caso de AWS Support (p. 14).

Trusted AdvisorUtilizando las operaciones de Trusted Advisor puede llevar a cabo estas tareas:

• Obtener nombres e identificadores para las comprobaciones que Trusted Advisor ofrece.• Solicitar que se realice una comprobación de Trusted Advisor en su cuenta y recursos.

Versión de API 2013-04-1512

AWS Support Guía del usuarioPunto de enlace

• Obtener resúmenes e información detallada de las comprobaciones de Trusted Advisor.• Solicitar la actualización de comprobaciones de Trusted Advisor.• Obtener el estado de cada comprobación de Trusted Advisor solicitada.

La API de AWS Support admite Eventos de CloudWatch para operaciones de Trusted Advisor. Paraobtener más información, consulte Monitorización de los resultados de la comprobación de Trusted Advisorcon Amazon CloudWatch Events (p. 36).

Para ver un ejemplo que utiliza las operaciones de Trusted Advisor, consulte Uso de Trusted Advisor comoservicio web (p. 29).

Punto de enlaceUsar este punto de enlace para acceder a AWS Support:

• https://support.us-east-1.amazonaws.com

Warning

El punto de enlace de AWS Support crea casos en la base de datos de producción. Asegúresede incluir una línea de asunto como, por ejemplo, CASO DE PRUEBA - Omitir cuando se llama aCreateCase para pruebas y se cierran los casos de pruebas creados llamando a ResolveCase.

Para obtener información adicional acerca del uso de puntos de enlace de AWS;, consulte Regiones ypuntos de enlace en la Referencia general de Amazon Web Services.

Soporte en SDK de AWSLa AWS Command Line Interface, el Herramientas de AWS para Windows PowerShell y los kits dedesarrollo de software (SDK) de AWS incluyen soporte para la API de AWS Support:

• AWS CLI• Herramientas de AWS para Windows PowerShell• AWS SDK for Java• AWS SDK para JavaScript• AWS SDK para .NET• AWS SDK para PHP• AWS SDK for Python (Boto)• AWS SDK parar Ruby

Versión de API 2013-04-1513

AWS Support Guía del usuarioInformación general

Programación de un caso de AWSSupport

La API de AWS Support permite crear casos y agregarles correspondencia a lo largo de lasinvestigaciones de los problemas y las interacciones con el personal de AWS Support. En este tema,se explica cómo se usan las acciones del servicio AWS Support, lo que determina gran parte delcomportamiento del Centro de soporte de AWS.

Para obtener una lista de las acciones y parámetros que puede utilizar con AWS Support, consulte la AWSSupport API Reference.

Temas• Información general (p. 14)• Creación de un cliente de AWS Support (p. 14)• Descubrir los servicios de AWS y los niveles gravedad del problema (p. 15)• Crear un conjunto de archivos adjuntos (p. 16)• Crear un caso de soporte (p. 17)• Recuperar y actualizar comunicaciones de casos de soporte (p. 19)• Recuperar toda la información de caso de soporte (p. 21)• Resolver un caso de soporte (p. 22)

Información generalEn este tema se utilizan ejemplos de código Java para demostrar el uso de AWS Support. Para obtenermás información sobre el soporte de SDK, consulte Código de muestra y bibliotecas.

Note

Si detecta los límites del servicio con sus llamadas a AWS Support, siga las recomendaciones deReintentos de error y retardo exponencial en AWS.

Uso de IAM con la API de AWS SupportAWS Identity and Access Management (IAM) es compatible con la API de AWS Support. Para obtener másinformación, consulte Acceso a AWS Support (p. 8).

Creación de un cliente de AWS SupportEl siguiente fragmento de código Java muestra cómo crear un AWSSupportClient, que se utiliza parahacer una llamada a AWSSupportService. El método createClient obtiene las credenciales de AWSllamando al constructor de AWSSupportClient() sin parámetros, el cual recupera las credenciales de

Versión de API 2013-04-1514

AWS Support Guía del usuarioDescubrir los servicios de AWS ylos niveles gravedad del problema

la cadena de proveedores de credenciales. Para obtener más información sobre este proceso, consulteTutorial: Uso de roles de IAM y del AWS SDK para Java para conceder acceso en AWS SDK for Java.

Para obtener más información sobre las credenciales de AWS, consulte Credenciales de seguridad deAWS en la AWS General Reference.

private static AWSSupportClient createClient(){ AWSSupportClient client = new AWSSupportClient(); client.setEndpoint("https://support.us-east-1.amazonaws.com"); return client;}

Descubrir los servicios de AWS y los nivelesgravedad del problema

El cliente Java de AWS Support proporciona un tipo CreateCaseRequest para enviar un caso de formaprogramada a AWS Support. La estructura CreateCaseRequest se rellena con los parámetros desolicitud y, a continuación, se pasa al método createClient en la instancia AWSSupportClient. Estosparámetros incluyen códigos que especifican el servicio de AWS y la gravedad del caso.

El siguiente fragmento de código Java contiene llamadas a las acciones DescribeServices yDescribeSeverityLevel de AWS Support:

// DescribeServices example

public static void getServiceCodes(AWSSupportClient client) { DescribeServicesResult result = client.describeServices(); for (Service service : result.getServices()) { System.out.println("Service code (name): " + service.getCode() + service.getName() + ")"); for (Category category : service.getCategories()) { System.out.println(" Category code (name): " + category.getCode() + "(" + category.getName() + ")"); } }}

// DescribeSeverityLevels example

public static void getSeverityLevels(AWSSupportClient client) { DescribeSeverityLevelsResult result = client.describeSeverityLevels(); for (SeverityLevel level : result.getSeverityLevelsList()) { System.out.println("Severity level (name): " + level.getCode() + level.getName() + ")"); }}

Cada llamada devuelve una lista de objetos con formato JSON. DescribeServices devuelve códigos deservicio y sus nombres correspondientes y DescribeSeverityLevels devuelve niveles de gravedad ysus nombres correspondientes. Además, DescribeServices también devuelve una lista de categoríasde AWS Support que se aplican a cada servicio de AWS. Estas categorías también se utilizan para abrir

Versión de API 2013-04-1515

AWS Support Guía del usuarioCrear un conjunto de archivos adjuntos

un caso de soporte con la acción CreateCase. Aunque estos valores también se pueden obtener desdeel sitio de AWS Support, el servicio de AWS Support siempre devuelve la versión más reciente de estainformación.

Crear un conjunto de archivos adjuntosPara adjuntar archivos al caso, debe añadir los archivos adjuntos a un conjunto de archivos adjuntos antesde crear el caso. Puede añadir hasta tres archivos adjuntos a un conjunto de adjuntos y el tamaño máximode un archivo adjunto del conjunto no debe superar los 5 MB. Para obtener más información, consulteAddAttachmentsToSet.

El siguiente fragmento de código Java crea un archivo adjunto de texto, lo añade a un conjunto de archivosadjuntos y, a continuación, obtiene el ID del conjunto de archivos adjuntos para añadirlos al caso.

public static string createAttachmentSet() throws IOException { BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); // Get content and file name for an attachment. System.out.println("Enter text content for an attachment to the case: "); String attachmentcontent = null; try { attachmentcontent = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter the file name for the attachment: "); String attachmentfilename = null; try { attachmentfilename = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } // Create the attachment. Attachment attachment1 = new Attachment(); attachment1.setData(ByteBuffer.wrap(attachmentcontent.getBytes())); attachment1.setFileName("attachmentfilename"); // Add the attachment to an array list. List<Attachment> attachments = new ArrayList<Attachment>(); attachments.add(attachment1); // Create an attachment set and add the attachment array list to it. AddAttachmentsToSetRequest addAttachmentsToSetRequest = new AddAttachmentsToSetRequest(); addAttachmentsToSetRequest.setAttachments(attachments); AddAttachmentsToSetResult addAttachmentsToSetResult = client.addAttachmentsToSet(addAttachmentsToSetRequest);

Versión de API 2013-04-1516

AWS Support Guía del usuarioCrear un caso de soporte

// Get the ID of the attachment set. String attachmentsetid = addAttachmentsToSetResult.getAttachmentSetId(); System.out.println("Attachment ID: " + attachmentsetid); return attachmentsetid;}

Crear un caso de soportePara crear un caso de AWS Support utilizando el servicio de AWS Support, rellene una instanciaCreateCaseRequest con la siguiente información:

• ServiceCode: código de servicio de AWS Support que se obtuvo llamando a la acciónDescribeServices, tal y como se describe en la sección anterior.

• CategoryCode: categoría que describe el tipo de incidencia relacionada con el caso de soporte.• Language: código del idioma en el que AWS Support proporciona soporte. En la actualidad, AWS lo

proporciona en inglés (en) y japonés (ja).• CcEmailAddresses: lista de direcciones de correo electrónico en las que va a recibir copias de

comunicaciones posteriores.• CommunicationBody: texto del cuerpo del envío inicial del caso.• Subject: título del caso de soporte.• SeverityCode: uno de los valores devueltos por la llamada a DescribeSeverityLevels.• AttachmentSetId: (opcional) ID de un conjunto de archivos adjuntos que se van a incluir con el caso.

La acción AddAttachmentsToSet devuelve el ID.

El siguiente fragmento de código Java recopila valores para cada uno de los parámetros de creaciónde casos desde la línea de comandos. A continuación se rellena una instancia CreateCaseRequest yse pasa a AWS Support llamando al método createCase en una instancia AWSSupportClient. Si lallamada es correcta, devolverá un valor CaseId de AWS Support con el formato siguiente.

case-123456789012-muen-2012-74a757cd8cf7558a

Note

AWS Support proporciona los campos CaseId y DisplayId. El campo DisplayId secorresponde con el número de caso que se muestra en el sitio de AWS Support. El campoCaseId se utiliza en interacciones programáticas con el servicio de AWS Support. Ambos camposse exponen en el tipo de datos CaseDetails.

public static void createCase(AWSSupportClient client) throws IOException { BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); System.out.println("Enter an AWS Service code: "); String servicecode = null; try { servicecode = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); }

Versión de API 2013-04-1517

AWS Support Guía del usuarioCrear un caso de soporte

System.out.println("Enter a category code: "); String categorycode = null; try { categorycode = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); }

System.out.println("Enter a language code, 'en' for English: "); String language = null; try { language = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); }

System.out.println("Enter an email address to copy on correspondence: "); String ccemailaddress = null; try { ccemailaddress = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter body text for the case: "); String communicationbody = null; try { communicationbody = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter a subject for the case: "); String casesubject = null; try { casesubject = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter the severity code for the case: "); String severitycode = null; try { severitycode = reader.readLine().trim();

Versión de API 2013-04-1518

AWS Support Guía del usuarioRecuperar y actualizar comunicaciones de casos de soporte

} catch (IOException e) { e.printStackTrace(); System.exit(1); } System.out.println("Enter the attachment set ID for the case: "); String attachmentsetid = null; try { attachmentsetid = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); } CreateCaseRequest request = new CreateCaseRequest() .withServiceCode(servicecode) .withCategoryCode(categorycode) .withLanguage(language) .withCcEmailAddresses(ccemailaddress) .withCommunicationBody(communicationbody) .withSubject(casesubject) .withSeverityCode(severitycode) .withAttachmentSetId(attachmentsetid); CreateCaseResult result = client.createCase(request); System.out.println("CreateCase() Example: Case created with ID " + result.getCaseId());}

Recuperar y actualizar comunicaciones de casos desoporte

Por lo general, en los casos de AWS Support, el cliente y los profesionales de AWS Support suelencomunicarse. AWS Support dispone de las acciones DescribeCommunications y DescribeAttachment pararecuperar esta correspondencia y de las acciones AddAttachmentsToSet y AddCommunicationToCasepara actualizar el caso. Estas acciones utilizan el tipo de datos Communication para transferir lasactualizaciones al servicio y devolverlas al código.

El siguiente fragmento de código Java añade la comunicación a un caso de AWS Support. En el ejemplo,se proporciona un método privado PrintCommunications para mayor comodidad.

public static void addCommunication(AWSSupportClient client) { System.out.println("Enter the CaseID for the case you want to update."); BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); String caseid = null; try { caseid = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace();

Versión de API 2013-04-1519

AWS Support Guía del usuarioRecuperar y actualizar comunicaciones de casos de soporte

System.exit(1); }

System.out.println("Enter text you want to add to this case."); String addcomm = null; try { addcomm = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); }

AddCommunicationToCaseRequest request = new AddCommunicationToCaseRequest().withCaseId(caseid) .withCommunicationBody(addcomm); client.addCommunicationToCase(request);

System.out.println( "AddCommunication() Example: Call GetCommunications() " + "if you want to see if the communication was added.");}

// DescribeCommunications example

public static void getCommunications(AWSSupportClient client) throws IOException { BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); String caseNumber = null;

System.out.println("Enter an AWS CaseID"); caseNumber = reader.readLine().trim();

{ DescribeCommunicationsRequest request = new DescribeCommunicationsRequest() .withCaseId(caseNumber.toString());

DescribeCommunicationsResult result = client.describeCommunications(request); printCommunications(result.getCommunications());

// Get more pages. while (result.getNextToken() != null) { request.setNextToken(result.getNextToken()); result = client.describeCommunications(request); printCommunications(result.getCommunications()); System.out.println( "GetCommunications() Example: Case communications retrieved" + " for case number " + request.getCaseId().toString()); } }}

private static void printCommunications(List<Communication> communications) { for (Communication communication : communications) { System.out.println("SubmittedBy: " + communication.getSubmittedBy()); System.out.println(" Body: " + communication.getBody()); }

Versión de API 2013-04-1520

AWS Support Guía del usuarioRecuperar toda la información de caso de soporte

}

Note

DescribeCommunications devuelve las cinco últimas comunicaciones de un caso de soporte.Además, DescribeCommunications toma una lista de valores de CaseId, lo que le permiterecuperar las comunicaciones de varios casos en una sola llamada.

Recuperar toda la información de caso de soportePuede recuperar toda la información relacionada con los casos de AWS Support llamando a la acciónDescribeCases. Debe rellenar un tipo de datos DescribeCasesRequest con una lista de valoresClientId, que los devuelve cada caso cuando se devuelve una solicitud createCase satisfactoria.

El siguiente fragmento de código Java acepta valores CaseId de la consola y rellena una instanciaDescribeCasesRequest para utilizarse en la acción DescribeCases. Se proporciona un métodoprivado printCases para mayor comodidad.

public static void getCases(AWSSupportClient client) { BufferedReader reader = new BufferedReader(new InputStreamReader(System.in));

System.out.println("Enter an AWS Support Case ID"); String caseid = null; try { caseid = reader.readLine().trim(); } catch (IOException e) { e.printStackTrace(); System.exit(1); }

DescribeCasesRequest request = new DescribeCasesRequest(); request.withCaseIdList(caseid);

DescribeCasesResult result = client.describeCases(request); printCases(result.getCases());

// Get more pages. while (result.getNextToken() != null) { request.setNextToken(result.getNextToken()); result = client.describeCases(request); printCases(result.getCases()); }}

private static void printCases(List<CaseDetails> caseDetailsList) { for (CaseDetails caseDetails : caseDetailsList) { System.out.println( "Case ID: " + caseDetails.getCaseId()); // This ID is for API use. System.out.println( " Display ID: " + caseDetails.getDisplayId()); // This ID is displayed on the AWS Support website. System.out.println(" Language: " + caseDetails.getLanguage());

Versión de API 2013-04-1521

AWS Support Guía del usuarioResolver un caso de soporte

System.out.println(" Status: " + caseDetails.getStatus()); System.out.println(" Subject: " + caseDetails.getSubject()); System.out.println("Recent Communications: " + caseDetails.getRecentCommunications()); }}

Note

La acción DescribeCases toma parámetros que permiten controlar el número de casos, lostipos de casos y la cantidad de detalles que se van a recuperar. Para obtener más información,consulte la acción DescribeCases.

Resolver un caso de soporteAWS Support dispone de la acción ResolveCase para resolver sus propios casos de soporte. En elsiguiente ejemplo de código Java se muestra su uso.

public static void resolveSupportCase(AWSSupportClient client){ System.out.println( "Enter the AWS Support case ID for the case you want to resolve."); BufferedReader BR = new BufferedReader(new InputStreamReader(System.in));

String caseid = null; try { caseid = BR.readLine().trim(); } catch (IOException e) { // TODO Auto-generated catch block e.printStackTrace(); }

ResolveCaseResult rcr = client.resolveCase(new ResolveCaseRequest().withCaseId(caseid)); System.out.println("Initial case status: " + rcr.getInitialCaseStatus()); System.out.println("Final case status: " + rcr.getFinalCaseStatus());}

Versión de API 2013-04-1522

AWS Support Guía del usuarioUso de roles vinculados a servicios para AWS Support

Uso de roles vinculados a serviciosAWS Support y AWS Trusted Advisor utilizan roles vinculados a servicios AWS Identity and AccessManagement (IAM). Un rol vinculado a servicio es un tipo único de rol de IAM que está vinculadodirectamente a AWS Support y a Trusted Advisor. En cada caso, el rol vinculado a un servicio es un rolpredefinido. Este rol incluye todos los permisos que requiere AWS Support o Trusted Advisor para llamara otros servicios de AWS en su nombre. En los temas siguientes, se explica para qué sirven los rolesvinculados a servicios y cómo trabajar con ellos en AWS Support y Trusted Advisor.

Temas• Uso de roles vinculados a servicios para AWS Support (p. 23)• Uso de roles vinculados a servicios para Trusted Advisor (p. 25)

Uso de roles vinculados a servicios para AWSSupport

Las herramientas de AWS Support recopilan información sobre sus recursos de AWS a través de llamadasa la API para proporcionar un servicio de atención al cliente y un soporte técnico de calidad excepcional.Para aumentar la transparencia y la posibilidad de realizar auditorías de las actividades de soporte, AWSSupport utiliza un rol vinculado a servicio de AWS Identity and Access Management (IAM). El rol vinculadoa servicio AWSServiceRoleForSupport es un rol de IAM único que está vinculado directamente a AWSSupport. Este rol vinculado a servicio es un rol predefinido e incluye todos los permisos que AWS Supportrequiere para llamar a otros servicios de AWS en su nombre. AWS Support utiliza este rol vinculado aservicio de diversas maneras:

• Servicios de facturación, administrativos, de soporte y otros servicios relacionados con el cliente.Como cliente de AWS, automáticamente tiene acceso las 24 horas al servicio de atención al cliente deAWS. El servicio de atención al cliente de AWS utiliza los permisos concedidos por el rol vinculado alservicio para realizar una serie de servicios como parte de su plan de soporte. Esto incluye investigar yresponder a preguntas relacionadas con la cuenta y la facturación, proporcionar soporte administrativopara la cuenta, aumentar los límites de servicio y ofrecer otros tipos de atención al cliente.

• Procesamiento de los atributos de servicio y los datos de uso de la cuenta de AWS. Para proporcionarservicios administrativos, de facturación y de soporte, AWS Support podría utilizar los permisos queconcede el rol vinculado a servicio para obtener acceso a los atributos de servicio y los datos de usode su cuenta de AWS. Los atributos de servicio incluyen los identificadores de recursos, las etiquetasde metadatos, los roles y los permisos de su cuenta. Los datos de uso incluyen las políticas de uso, lasestadísticas de uso y los análisis.

• Mantenimiento del estado operativo de su cuenta y sus recursos. AWS Support utiliza herramientasautomatizadas para realizar acciones relacionadas con la asistencia técnica y operativa.

Para proporcionar estos servicios, los permisos predefinidos del rol conceden a AWS Support acceso a losmetadatos de los recursos, no a los datos de los clientes. Únicamente las herramientas de AWS Supportpueden asumir este rol, que existe en su cuenta de AWS.

Redactamos campos que podrían contener datos de clientes. Por ejemplo, los campos de entrada ysalida de la llamada a la API de AWS Step Functions GetExecutionHistory no son visibles para AWSSupport.

Versión de API 2013-04-1523

AWS Support Guía del usuarioPermisos de roles vinculados a servicios para AWS Support

Para obtener más información sobre el rol de AWSServiceRoleForSupport o sus usos, póngase encontacto con AWS Support.

Note

AWS Trusted Advisor utiliza un rol vinculado a servicio de IAM independiente para teneracceso a los recursos de AWS de su cuenta con objeto de proporcionar comprobaciones yrecomendaciones sobre prácticas recomendadas. Para obtener más información, consulte Uso deroles vinculados a servicios para Trusted Advisor (p. 25).

El rol vinculado a servicio AWSServiceRoleForSupport permite que todas las llamadas a la API desoporte sean visibles para los clientes a través de AWS CloudTrail. Esto le ayuda a cumplir sus requisitosde monitorización y auditoría, ya que brinda una manera transparente de comprender las acciones queAWS Support realiza en su nombre. Para obtener información acerca de CloudTrail, consulte la AWSCloudTrail User Guide.

Permisos de roles vinculados a servicios para AWSSupportEl rol vinculado a servicio AWSServiceRoleForSupport confía en el servicio support.amazonaws.compara asumir el rol. La política de permisos del rol vinculado a servicio contiene todos los permisos queAWS Support necesita para realizar acciones en su nombre.

Para obtener más información sobre el rol de AWSServiceRoleForSupport o sus usos, póngase encontacto con AWS Support.

Creación de una función vinculada a servicios paraAWS SupportNo necesita crear manualmente un rol AWSServiceRoleForSupport. Al crear una cuenta de AWS, esterol se crea y se configura automáticamente por usted.

Important

Si utilizaba AWS Support antes de que empezara a admitir los roles vinculados a servicios, AWScreó el rol AWSServiceRoleForSupport en su cuenta. Para obtener más información, consulteUn nuevo rol ha aparecido en la cuenta de IAM.

Edición y eliminación de un rol vinculado a serviciopara AWS SupportPuede utilizar IAM para editar la descripción del rol vinculado a servicio AWSServiceRoleForSupport.Para obtener más información, consulte Editar una función vinculada a un servicio en la Guía del usuariode IAM.

El rol AWSServiceRoleForSupport es necesario para que AWS Support proporcione soporte técnico,operativo y administrativo para su cuenta. Por ello, este rol no se puede eliminar a través de la consola,la API o la CLI de IAM. De esta forma, se protege su cuenta de AWS, ya que usted no podrá eliminaraccidentalmente los permisos necesarios para administrar los servicios de soporte.

Para obtener más información sobre el rol de AWSServiceRoleForSupport o sus usos, póngase encontacto con AWS Support.

Versión de API 2013-04-1524

AWS Support Guía del usuarioUso de roles vinculados a servicios para Trusted Advisor

Uso de roles vinculados a servicios para TrustedAdvisor

AWS Trusted Advisor usa roles vinculados a servicios de AWS Identity and Access Management (IAM).El rol vinculado a servicio es un rol de IAM único que está vinculado directamente a Trusted Advisor. Losroles vinculados a servicios están predefinidos por Trusted Advisor e incluyen todos los permisos queel servicio requiere para llamar a otros servicios de AWS en su nombre. Trusted Advisor utiliza este rolpara comprobar su uso en AWS y proporcionar recomendaciones para mejorar el entorno de AWS. Porejemplo, Trusted Advisor analiza el uso que hace de la instancia Amazon EC2 para ayudarle a reducircostos, mejorar el desempeño y la tolerancia a errores y mejorar la seguridad.

Este rol hace más sencillo comenzar con la cuenta de AWS, porque no es preciso agregar los permisosnecesarios manualmente para Trusted Advisor. Trusted Advisor define los permisos de las funcionesvinculadas con su propio servicio y solo Trusted Advisor puede asumir sus funciones. Los permisosdefinidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puedeasociar a ninguna otra entidad de IAM.

Solo es posible eliminar el rol después de deshabilitar primero Trusted Advisor. Esto impide que seeliminen los permisos necesarios para las operaciones de Trusted Advisor. Cuando se deshabilitaTrusted Advisor, se deshabilitan todas las características del servicio, incluido el procesamiento sinconexión y las notificaciones. Además, si se deshabilita Trusted Advisor para una cuenta vinculada, laotra cuenta que efectúa los pagos también se ve afectada, ya que se desactivan algunas funcionalidadesde ahorro de costos. Únicamente se puede volver a habilitar Trusted Advisor después de instalar elAWSServiceRoleForTrustedAdvisor en la cuenta a través de IAM.

Note

AWS Support utiliza un rol vinculado a servicio de IAM independiente para tener acceso a losrecursos de la cuenta con el fin de proporcionar servicios administrativos, de facturación y desoporte. Para obtener más información, consulte Uso de roles vinculados a servicios para AWSSupport (p. 23).

Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulteAWS Services That Work with IAM. Busque los servicios para los que se indique Síen la columna Rolesvinculados a servicios. Seleccione una opción Sí con un enlace para ver la documentación acerca del rolvinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para TrustedAdvisorTrusted Advisor utiliza el rol vinculado a servicio denominado AWSServiceRoleForTrustedAdvisor, quepermite a Trusted Advisor tener acceso a los servicios de AWS en su nombre.

La función vinculada al servicio AWSServiceRoleForTrustedAdvisor confía en los siguientes servicios paraasumir la función:

• trustedadvisor.amazonaws.com

La política de permisos de la función permite que Trusted Advisor realice las siguientes acciones en losrecursos especificados:

• Acción: Read-only access en all AWS resources

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear,editar o eliminar la descripción de una función vinculada a un servicio.

Versión de API 2013-04-1525

AWS Support Guía del usuarioPermisos de roles vinculados aservicios para Trusted Advisor

Para permitir que una entidad de IAM cree el rol vinculado a servicioAWSServiceRoleForTrustedAdvisor

Esto solo es necesario si la cuenta Trusted Advisor está deshabilitada, el rol vinculado a servicio se eliminay el usuario debe volver a crear el rol para volver a habilitar Trusted Advisor.

Añada la siguiente instrucción a la política de permisos de la entidad de IAM entidad que necesita crear elrol vinculado al servicio:

{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}}

Para permitir a una entidad de IAM editar la descripción del rol vinculado a servicioAWSServiceRoleForTrustedAdvisor

Debido a la naturaleza de este rol, solo se puede editar su descripción.

Añada la siguiente instrucción a la política de permisos de la entidad de IAM entidad que necesita editar ladescripción del rol vinculado con el servicio:

{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}}

Para permitir a una entidad de IAM eliminar el rol vinculado a servicioAWSServiceRoleForTrustedAdvisor

Añada la siguiente instrucción a la política de permisos de la entidad de IAM entidad que necesita eliminarun rol vinculado al servicio:

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}}

Puede usar una política administrada de AWS, como AdministratorAccess para proporcionar accesocompleto a Trusted Advisor.

Versión de API 2013-04-1526

AWS Support Guía del usuarioCreación de una función vinculadaa servicios para Trusted Advisor

Creación de una función vinculada a servicios paraTrusted AdvisorNo necesita crear manualmente el rol vinculado al servicio AWSServiceRoleForTrustedAdvisor. Alrealizar una operación de open an AWS account, Trusted Advisor se encarga de crear automáticamente lafunción vinculada al servicio.

Important

Si utilizaba el servicio Trusted Advisor antes de que comenzara a admitir losroles vinculados a servicios, entonces Trusted Advisor ya había creado el rolAWSServiceRoleForTrustedAdvisor en su cuenta. Para obtener más información, consulteUn nuevo rol ha aparecido en la cuenta de IAM.

Si su cuenta no tiene el rol vinculado a servicio AWSServiceRoleForTrustedAdvisor, Trusted Advisorno funcionará según lo previsto. Esto podría ocurrir si alguien deshabilitara Trusted Advisor en su cuentay, a continuación, eliminara el rol vinculado a servicio. En este caso, puede utilizar IAM para crear el rolvinculado a servicio AWSServiceRoleForTrustedAdvisor y, a continuación, habilitar Trusted Advisor.

Para habilitar Trusted Advisor (consola)

1. En primer lugar, utilice la consola IAM, la CLI de IAM o la API de IAM para crear un rol vinculado aservicio mediante el caso de uso de Trusted Advisor. Para obtener más información, consulte Crear unrol vinculado a servicio.

2. Inicie sesión en la Consola de administración de AWS y, a continuación, abra la consola de TrustedAdvisor en https://console.aws.amazon.com/trustedadvisor.

Su experiencia de consola de Trusted Advisor estará bloqueada por el banner de estado DisabledTrusted Advisor (Trusted Advisor deshabilitado).

3. Elija Enable Trusted Advisor Role (Habilitar rol de Trusted Advisor) en el banner de estado. Una vezrealizada la modificación, la experiencia de consola de Trusted Advisor se habilita. Si no se detecta elAWSServiceRoleForTrustedAdvisor necesario, el banner de estado permanece deshabilitado.

Edición de una función vinculada a un servicio paraTrusted AdvisorTrusted Advisor no le permite editar el rol vinculado a servicio AWSServiceRoleForTrustedAdvisor sila cuenta no tiene ningún rol vinculado a servicio para Trusted Advisor. Después de crear un rol vinculadoa un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sinembargo, puede utilizar la consola IAM, la CLI de IAM o la API de IAM para editar la descripción del rol.Para obtener más información, consulte Editar una función vinculada a un servicio en la Guía del usuariode IAM.

Eliminación de un rol vinculado a un servicio paraTrusted AdvisorSi no tiene que utilizar ninguna característica ni servicio de Trusted Advisor, le recomendamos que elimineel rol AWSServiceRoleForTrustedAdvisor. Si deshabilita Trusted Advisor y, a continuación, eliminasu rol vinculado a servicio, bloquea toda la funcionalidad de Trusted Advisor para toda la cuenta. Laconsola de Trusted Advisor se bloqueará y mostrará el estado deshabilitado. Las llamadas de la API aTrusted Advisor devolverán un error de acceso denegado.

Versión de API 2013-04-1527

AWS Support Guía del usuarioEliminación de un rol vinculado aun servicio para Trusted Advisor

Para poder eliminar el rol AWSServiceRoleForTrustedAdvisor través de IAM, primero debedeshabilitar Trusted Advisor en la consola.

Note

Cuando deshabilita Trusted Advisor y elimina su rol vinculado al servicio, algunas funcionalidadesde ahorro de costos de una cuenta vinculada que efectúa los pagos se verán afectadasnegativamente).

Limpiar un rol vinculado a un servicioPara poder utilizar IAM para eliminar un rol vinculado a servicio, primero debe deshabilitar Trusted Advisorcon la consola.

Para deshabilitar Trusted Advisor (consola)

1. Inicie sesión en la Consola de administración de AWS y, a continuación, abra la consola de TrustedAdvisor en https://console.aws.amazon.com/trustedadvisor.

2. En el panel de navegación de la consola de Trusted Advisor, elija Preferences (Preferencias).3. En la sección Service Linked Role Permissions (Permisos de roles vinculados a servicios), elija

Disable Trusted Advisor (Deshabilitar Trusted Advisor).4. En el cuadro de diálogo de confirmación, confirme que desea deshabilitar Trusted Advisor; para ello,

elija OK (Aceptar).

Cuando la operación se ejecuta correctamente, todas las funcionalidades de Trusted Advisor sedeshabilitan y la consola de Trusted Advisor muestra únicamente el banner de estado deshabilitado.

A continuación, puede utilizar la consola IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculadoa servicio de Trusted Advisor denominado AWSServiceRoleForTrustedAdvisor. Para obtener másinformación, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Versión de API 2013-04-1528

AWS Support Guía del usuarioObtener la lista de comprobaciones

de Trusted Advisor disponibles

Uso de Trusted Advisor comoservicio web

El servicio de AWS Support le permite escribir aplicaciones que interactúan con AWS Trusted Advisor.En este tema se muestra cómo obtener una lista de comprobaciones de Trusted Advisor, actualizar unade ellas y, a continuación, obtener los resultados detallados de la comprobación. Estas tareas se handemostrado en Java. Para obtener información de soporte para otros idiomas, consulte Herramientas paraAmazon Web Services

Temas• Obtener la lista de comprobaciones de Trusted Advisor disponibles (p. 29)• Actualizar la lista de comprobaciones de Trusted Advisor disponibles (p. 30)• Sondear una comprobación de Trusted Advisor para cambios de estado (p. 30)• Solicitar un resultado de comprobación de Trusted Advisor (p. 31)• Imprimir detalles de una comprobación de Trusted Advisor (p. 32)

Obtener la lista de comprobaciones de TrustedAdvisor disponibles

El siguiente fragmento de código Java crea una instancia de un cliente de AWS Support que se puedeutilizar para llamar a todas las acciones de Trusted Advisor. A continuación, el código obtiene la listade comprobaciones de Trusted Advisor y sus valores CheckId correspondientes llamando a la acciónDescribeTrustedAdvisorChecks. Puede utilizar esta información para crear interfaces de usuario quepermiten a los usuarios seleccionar la comprobación que desean ejecutar o actualizar.

private static AWSSupport createClient(){ return AWSSupportClientBuilder.defaultClient();}// Get the List of Available Trusted Advisor Checkspublic static void getTAChecks() { // Possible language parameters: "en" (English), "ja" (Japanese), "fr" (French), "zh" (Chinese) DescribeTrustedAdvisorChecksRequest request = new DescribeTrustedAdvisorChecksRequest().withLanguage("en"); DescribeTrustedAdvisorChecksResult result = createClient().describeTrustedAdvisorChecks(request); for (TrustedAdvisorCheckDescription description : result.getChecks()) { // Do something with check description. System.out.println(description.getId()); System.out.println(description.getName()); }}

Versión de API 2013-04-1529

AWS Support Guía del usuarioActualizar la lista de comprobaciones

de Trusted Advisor disponibles

Actualizar la lista de comprobaciones de TrustedAdvisor disponibles

El siguiente fragmento de código Java crea una instancia de un cliente de AWS Support que se puedeutilizar para actualizar los datos de Trusted Advisor.

// Refresh a Trusted Advisor Check// Note: Some checks are refreshed automatically, and they cannot be refreshed by using this operation.// Specifying the check ID of a check that is automatically refreshed causes an InvalidParameterValue error.public static void refreshTACheck(final String checkId) { RefreshTrustedAdvisorCheckRequest request = new RefreshTrustedAdvisorCheckRequest().withCheckId(checkId); RefreshTrustedAdvisorCheckResult result = createClient().refreshTrustedAdvisorCheck(request); System.out.println("CheckId: " + result.getStatus().getCheckId()); System.out.println("Milliseconds until refreshable: " + result.getStatus().getMillisUntilNextRefreshable()); System.out.println("Refresh Status: " + result.getStatus().getStatus());}

Sondear una comprobación de Trusted Advisorpara cambios de estado

Después de enviar la solicitud para ejecutar una comprobación de Trusted Advisor para generar los datosde estado más recientes, se utiliza la acción DescribeTrustedAdvisorCheckRefreshStatuses parasolicitar el progreso de la ejecución de la comprobación y saber cuándo los nuevos datos están listos parala comprobación.

El siguiente fragmento de código Java obtiene el estado de la comprobación solicitada en la siguientesección, utilizando el valor correspondiente en la variable CheckId. Además, el código demuestra otrosusos diversos del servicio de Trusted Advisor:

1. Puede hacer una llamada a getMillisUntilNextRefreshable recorriendo los objetos contenidosen la instancia DescribeTrustedAdvisorCheckRefreshStatusesResult. Puede utilizar el valordevuelto para comprobar si desea que el código continúe actualizando la comprobación.

2. Si timeUntilRefreshable equivale a cero, puede solicitar una actualización de la comprobación.3. Con el estado devuelto, puede seguir sondeando los cambios de estado; el fragmento de código

establece el intervalo de sondeo a una recomendación de diez segundos. Si el estado es enqueued oin_progress, el bucle devuelve y solicita otro estado. Si la llamada devuelve successful, el bucletermina.

4. Finalmente, el código devuelve una instancia de un tipo de datosDescribeTrustedAdvisorCheckResultResult que puede utilizar para recorrer la informacióngenerada con la comprobación.

Nota: utilice una única solicitud de actualización antes de sondear el estado de la solicitud.

// Retrieves TA refresh statuses. Multiple checkId's can be submitted.public static List<TrustedAdvisorCheckRefreshStatus> getTARefreshStatus(final String... checkIds) {

Versión de API 2013-04-1530

AWS Support Guía del usuarioSolicitar un resultado de comprobación de Trusted Advisor

DescribeTrustedAdvisorCheckRefreshStatusesRequest request = new DescribeTrustedAdvisorCheckRefreshStatusesRequest().withCheckIds(checkIds); DescribeTrustedAdvisorCheckRefreshStatusesResult result = createClient().describeTrustedAdvisorCheckRefreshStatuses(request); return result.getStatuses();}// Retrieves a TA check status, and checks to see if it has finished processing.public static boolean isTACheckStatusInTerminalState(final String checkId) { // Since we only submitted one checkId to getTARefreshStatus, just retrieve the only element in the list. TrustedAdvisorCheckRefreshStatus status = getTARefreshStatus(checkId).get(0); // Valid statuses are: // 1. "none", the check has never been refreshed before. // 2. "enqueued", the check is waiting to be processed. // 3. "processing", the check is in the midst of being processed. // 4. "success", the check has succeeded and finished processing - refresh data is available. // 5. "abandoned", the check has failed to process. return status.getStatus().equals("abandoned") || status.getStatus().equals("success");}// Enqueues a Trusted Advisor check refresh. Periodically polls the check refresh status for completion.public static TrustedAdvisorCheckResult getFreshTACheckResult(final String checkId) throws InterruptedException { refreshTACheck(checkId); while(!isTACheckStatusInTerminalState(checkId)) { Thread.sleep(10000); } return getTACheckResult(checkId);}// Retrieves fresh TA check data whenever possible.// Note: Some checks are refreshed automatically, and they cannot be refreshed by using this operation. This method// is only functional for checks that can be refreshed using the RefreshTrustedAdvisorCheck operation.public static void pollForTACheckResultChanges(final String checkId) throws InterruptedException { String checkResultStatus = null; do { TrustedAdvisorCheckResult result = getFreshTACheckResult(checkId); if (checkResultStatus != null && !checkResultStatus.equals(result.getStatus())) { break; } checkResultStatus = result.getStatus(); // The rule refresh has completed, but due to throttling rules the checks may not be refreshed again // for a short period of time. // Since we only submitted one checkId to getTARefreshStatus, just retrieve the only element in the list. TrustedAdvisorCheckRefreshStatus refreshStatus = getTARefreshStatus(checkId).get(0); Thread.sleep(refreshStatus.getMillisUntilNextRefreshable()); } while(true); // Signal that a TA check has changed check result status here.}

Solicitar un resultado de comprobación de TrustedAdvisor

Una vez que seleccione la comprobación para consultar los resultados detallados, puede enviar unasolicitud a través de la acción DescribeTrustedAdvisorCheckResult.

Versión de API 2013-04-1531

AWS Support Guía del usuarioImprimir detalles de una comprobación de Trusted Advisor

El siguiente fragmento de código Java utiliza la instancia DescribeTrustedAdvisorChecksResultreferida por la variable result, que se ha obtenido en el fragmento de código anterior. En lugar de definiruna comprobación de forma interactiva a través de una interfaz de usuario, después de enviar la solicitudpara su ejecución, el fragmento envía una solicitud de ejecución de la primera comprobación de la listaespecificando un valor de índice de 0 en cada llamada result.getChecks().get(0). A continuación,el código define una instancia de DescribeTrustedAdvisorCheckResultRequest, que se pasa a unainstancia de DescribeTrustedAdvisorCheckResultResult llamada checkResult. Puede utilizarlas estructuras miembros de este tipo de datos para ver los resultados de la comprobación.

// Request a Trusted Advisor Check Resultpublic static TrustedAdvisorCheckResult getTACheckResult(final String checkId) { DescribeTrustedAdvisorCheckResultRequest request = new DescribeTrustedAdvisorCheckResultRequest() // Possible language parameters: "en" (English), "ja" (Japanese), "fr" (French), "zh" (Chinese) .withLanguage("en") .withCheckId(checkId); DescribeTrustedAdvisorCheckResultResult requestResult = createClient().describeTrustedAdvisorCheckResult(request); return requestResult.getResult();}

Nota: la solicitud de un resultado de comprobación de Trusted Advisor no genera datos de resultadosactualizados.

Imprimir detalles de una comprobación de TrustedAdvisor

El siguiente fragmento de código de Java se itera a través de la instanciaDescribeTrustedAdvisorCheckResultResult devuelta en la sección anterior para obtener una listade recursos etiquetados mediante la comprobación de Trusted Advisor.

// Print ResourceIds for flagged resources. for (TrustedAdvisorResourceDetail flaggedResource : result1.getResult().getFlaggedResources()){ System.out.println( "The resource for this ResourceID has been flagged: " + flaggedResource.getResourceId());}

Versión de API 2013-04-1532

AWS Support Guía del usuarioInformación de AWS Support en CloudTrail

Registro de llamadas a la API deAWS Support con AWS CloudTrail

AWS Support está integrado con AWS CloudTrail, un servicio que proporciona un registro de las accionesrealizadas por un usuario, una función o un servicio de AWS en AWS Support. CloudTrail captura lasllamadas a la API de AWS Support como eventos. Las llamadas capturadas incluyen las llamadasprocedentes de la consola de AWS Support y las llamadas de código a las operaciones de la API de AWSSupport.

Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail a unbucket de Amazon S3, incluidos los eventos de AWS Support. Si no configura un registro de seguimiento,puede ver los eventos más recientes en la consola de CloudTrail en el Event history (Historial de eventos).

Mediante la información que recopila CloudTrail, se puede determinar la solicitud que se envió a AWSSupport, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo la realizó y detallesadicionales.

Para obtener más información sobre CloudTrail, incluido cómo configurarlo y habilitarlo, consulte la AWSCloudTrail User Guide.

Información de AWS Support en CloudTrailCloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad de eventoscompatible en AWS Support, dicha actividad se registra en un evento de CloudTrail junto con los eventosde los demás servicios de AWS en Event history (Historial de eventos). Puede ver, buscar y descargar losúltimos eventos de la cuenta de AWS. Para obtener más información, consulte Visualización de eventoscon el historial de eventos de CloudTrail.

Para mantener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos deAWS Support, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviararchivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registrode seguimiento en la consola, este se aplica a todas las regiones de AWS. El registro de seguimientoregistra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucketde Amazon S3 especificado. También puede configurar otros servicios de AWS para analizar y actuar enfunción de los datos de eventos recopilados en los registros de CloudTrail. Para obtener más información,consulte los siguientes temas:

• Introducción a la creación de registros de seguimiento• Servicios e integraciones compatibles con CloudTrail• Configuración de notificaciones de Amazon SNS para CloudTrail• Recepción de archivos de registro de CloudTrail de varias regiones y Recepción de archivos de registro

de CloudTrail de varias cuentas

AWS Support admite el registro de las siguientes acciones como eventos en los archivos de registro deCloudTrail:

• AddAttachmentsToSet

Versión de API 2013-04-1533

AWS Support Guía del usuarioInformación de AWS Support en el registro de CloudTrail

• AddCommunicationToCase

• CreateCase

• ResolveCase

Información de AWS Support en el registro deCloudTrail

Cuando el registro de CloudTrail está habilitado en la cuenta de AWS, se hace un seguimiento de lasllamadas a acciones específicas de AWS Support realizadas por la API en archivos de registro deCloudTrail. Las acciones de AWS Support se escriben con otros registros de servicios de AWS. CloudTraildetermina cuándo se crea un archivo nuevo para usarlo como registro en función del periodo de tiempo yel tamaño del archivo.

Se admiten las siguientes acciones:

• AddAttachmentsToSet

• AddCommunicationToCase

• CreateCase

• DescribeAttachment

• DescribeCases

• DescribeCommunications

• DescribeServices

• DescribeSeverityLevels

• ResolveCase

Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La informaciónde identidad del usuario le ayuda a determinar lo siguiente:

• Si la solicitud se realizó con credenciales de usuario raíz o de AWS Identity and Access Management(IAM).

• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.• Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte el elemento userIdentity de CloudTrail.

Puede almacenar sus archivos de registro en el bucket de Amazon S3 durante el tiempo que quiera.También puede definir reglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos de registroautomáticamente. De forma predeterminada, los archivos log se cifran con cifrado de servidor de AmazonS3 (SSE).

Si desea recibir notificaciones sobre la entrega de archivos de registro, puede configurar CloudTrail paraque publique las notificaciones de Amazon Simple Notification Service cuando se envíen nuevos archivosde registro. Para obtener más información, consulte Configuring Amazon SNS Notifications for CloudTrail.

También puede añadir archivos de registro de AWS Support varias regiones de AWS y varias cuentas deAWS en un solo bucket de Amazon S3.

Para obtener más información, consulte Recibir archivos de registro de CloudTrail de varias regiones yRecibir archivos de registro de CloudTrail de varias cuentas.

Versión de API 2013-04-1534

AWS Support Guía del usuarioDescripción de las entradas de

archivos de registro de AWS Support

Descripción de las entradas de archivos de registrode AWS Support

Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos deregistro al bucket de Amazon S3 que se especifique. Los archivos de registro de CloudTrail contienen unao varias entradas de registro. Un evento representa una única solicitud desde cualquier origen. Incluyeinformación sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud,etcétera. Los archivos de registro de CloudTrail no son un rastro de la pila ordenada de las llamadas a laAPI públicas, por lo que no aparecen en ningún orden específico.

En el ejemplo siguiente se muestra una entrada de registro de CloudTrail que ilustra la acción CreateCase.

{ "Records": [ { "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-04-13T17:51:37Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2016-04-13T18:05:53Z", "eventSource": "support.amazonaws.com", "eventName": "CreateCase", "awsRegion": "us-east-1", "sourceIPAddress": "198.51.100.15", "userAgent": "signin.amazonaws.com", "requestParameters": { "severityCode": "low", "categoryCode": "other", "language": "en", "serviceCode": "support-api", "issueType": "technical" }, "responseElements": { "caseId": "case-111122223333-muen-2016-c3f2077e504940f2" }, "requestID": "58c257ef-01a2-11e6-be2a-01c031063738", "eventID": "5aa34bfc-ad5b-4fb1-8a55-2277c86e746a", "eventType": "AwsApiCall", "recipientAccountId": "111122223333" } ], ...}

Versión de API 2013-04-1535

AWS Support Guía del usuarioMonitorización de los resultados de la comprobación

de Trusted Advisor con Eventos de CloudWatch

Monitorización de Trusted Advisorcon Amazon CloudWatch Events yAmazon CloudWatch

AWS Trusted Advisor está integrado en los servicios Amazon CloudWatch Events y Amazon CloudWatch.Puede usar Amazon CloudWatch Events para detectar cambios en el estado de las comprobaciones deTrusted Advisor. Y puede utilizar Amazon CloudWatch para crear alarmas de métricas de Trusted Advisorsobre los cambios de estado de las comprobaciones, los cambios de estado de los recursos y la utilizacióndel límite de servicio. Consulte los siguientes temas para obtener información detallada.

Temas• Monitorización de los resultados de la comprobación de Trusted Advisor con Amazon CloudWatch

Events (p. 36)• Creación de alarmas Trusted Advisor mediante CloudWatch (p. 37)

Monitorización de los resultados de lacomprobación de Trusted Advisor con AmazonCloudWatch Events

Puede usar Amazon CloudWatch Events para detectar cambios en el estado de las comprobaciones deTrusted Advisor. A continuación, en función de las reglas que se creen, Eventos de CloudWatch invocaráuna o varias acciones de destino cuando el estado de una comprobación cambia al valor que especifiqueen una regla. En función del tipo de cambio de estado, es posible que desee enviar notificaciones,capturar información de estado, tomar medidas correctivas, iniciar eventos o adoptar otras medidas. Siutiliza Eventos de CloudWatch como parte del flujo de trabajo de Trusted Advisor, puede seleccionar lossiguientes tipos de destinos:

• Funciones de AWS Lambda• Flujos de Amazon Kinesis• Colas de Amazon Simple Queue Service• Destinos integrados (acciones de alarma de CloudWatch)• Temas de Amazon Simple Notification Service

A continuación se indican algunos casos de uso:

• Utilice una función de Lambda para pasar una notificación a un canal de Slack cuando el estado de lacomprobación cambie.

• Envíe datos acerca de las comprobaciones a un flujo de Kinesis para permitir una monitorizacióncompleta del estado en tiempo real.

Para ver ejemplos de uso de Eventos de CloudWatch y funciones de Lambda para automatizar larespuesta a los resultados de comprobación de Trusted Advisor, consulte Trusted Advisor.

Versión de API 2013-04-1536

AWS Support Guía del usuarioCreación de alarmas de Trusted Advisor con CloudWatch

En las demás secciones de este tema, se describe el procedimiento básico para crear una regla deEventos de CloudWatch para Trusted Advisor. No obstante, antes de crear reglas de eventos para TrustedAdvisor, debe hacer lo siguiente:

• Familiarizarse con los eventos, las reglas y los destinos de Eventos de CloudWatch. Para obtener másinformación, consulte ¿Qué es Amazon CloudWatch Events? y la entrada de blog New Eventos deCloudWatch – Track and Respond to Changes to Your AWS Resources.

• Crear el destino o los destinos que se utilizarán en las reglas de eventos.

Si desea crear una regla de Eventos de CloudWatch para Trusted Advisor:

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En la barra de navegación, seleccione la región US East (N. Virginia).3. En el panel de navegación, seleccione Events.4. Elija Create rule y, a continuación en Event Source, para Service Name, elija Trusted Advisor.5. Especifique los valores de estado:

• Para realizar una regla que se aplica a todos los valores de estado, elija Check Item Refresh Statusy, a continuación, elija Any status (opción predeterminada).

• Para crear una regla que se aplique únicamente a algunos valores de estado, seleccione Specificstatus(es) y luego elija uno o varios valores de estado de la lista.

6. Especifique las comprobaciones de Trusted Advisor:

• Para crear una regla que se aplique a todas las comprobaciones de Trusted Advisor, elija Anycheck.

• Para crear una regla que se aplique únicamente a algunas comprobaciones, seleccione Specificcheck(s) y luego elija uno o varios nombres de comprobaciones de la lista.

7. Especifique los recursos de AWS:

• Para crear una regla que se aplique a todos recursos, elija Any resource ID.• Para crear una regla que se aplique únicamente a uno o varios recursos, elija Specific resource

ID(s) by ARN (ID de recurso específico por ARN). A continuación, introduzca los ARN de losrecursos.

8. Revise la configuración de las reglas para asegurarse de que se ajusta a los requisitos demonitorización de eventos.

9. En el área Targets, seleccione Add target*.10. En la lista Select target type (Seleccionar tipo de destino), elija el tipo de destino que preparó para

utilizar con esta regla. A continuación, configure las opciones adicionales requeridas por dicho tipo.11. Seleccione Configure details.12. En la página Configure rule details (Configurar detalles de regla), escriba un nombre y una descripción

de la regla. Para habilitar la regla tan pronto como se cree, elija el cuadro State (Estado).13. Si está satisfecho con la regla, elija Create rule.

Creación de alarmas Trusted Advisor medianteCloudWatch

Puede utilizar Amazon CloudWatch para crear alarmas de métricas de Trusted Advisor sobre los cambiosde estado de las comprobaciones, los cambios de estado de los recursos y la utilización del límite deservicio. Puede crear varias alarmas en función de sus necesidades.

Versión de API 2013-04-1537

AWS Support Guía del usuarioCreación de alarmas de Trusted Advisor con CloudWatch

Siga el sencillo procedimiento que se describe aquí para crear una alarma de CloudWatch en TrustedAdvisor. No obstante, antes de crear alarmas de las métricas de Trusted Advisor, debe hacer lo siguiente:

• Familiarizarse con las métricas y las alarmas de CloudWatch. Para obtener más información, consulte¿Qué es Amazon CloudWatch?

• Actualizar las comprobaciones a través de la consola de Trusted Advisor de la API de AWS Support.

Para crear una alarma de CloudWatch en Trusted Advisor

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En la barra de navegación, en el selector de regiones, elija Región EE.UU. Este (Norte de Virginia).3. En el panel de navegación, elija Alarms.4. Elija Create Alarm.5. En Select Metric (Seleccionar métrica), elija una métrica para Trusted Advisor.6. Para seleccionar una métrica, realice una de las operaciones siguientes:

a. En el cuadro de búsqueda, escriba uno o varios valores de dimensión para filtrar la lista demétricas.

b. En la tabla de resultados, active la casilla de la fila que contiene la métrica que desea usar.7. Seleccione Siguiente.8. Configure la alarma:

a. En Alarm Threshold, especifique un nombre y una descripción.b. En la métrica ServiceLimitUsage, especifique un valor de umbral comprendido entre 0.00 y

1.00.c. En las métricas RedResources, YellowResources, GreenChecks, RedChecks y YellowChecks,

puede especificar un umbral que sea un número entero mayor o igual a cero.d. Configure el comportamiento deseado de los datos que faltan. De forma predeterminada, este

valor se establece en missing.e. En Actions, agregue una lista de notificación.

9. Elija Create Alarm.

Versión de API 2013-04-1538

AWS Support Guía del usuarioIdentity and Access Management

Seguridad en AWS SupportLa seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de lasorganizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube – AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Losauditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte delos Programas de conformidad de AWS . Para obtener información sobre los programas de conformidadque se aplican a AWS Support, consulte Servicios de AWS en el ámbito del programa de conformidad.

• Seguridad en la nube – su responsabilidad viene determinada por el servicio de AWS que utilice.También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de laempresa y la legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo puede aplicar el modelo de responsabilidad compartidacuando se utiliza AWS Support. En los siguientes temas, aprenderá a configurar AWS Support parasatisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros servicios de AWSque le ayudarán a monitorear y proteger sus recursos de AWS Support.

Temas• Administración de identidades y accesos en AWS Support (p. 39)• Validación de conformidad para AWS Support (p. 48)• Resiliencia en AWS Support (p. 49)• Seguridad de la infraestructura en AWS Support (p. 49)

Administración de identidades y accesos en AWSSupport

AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda a un administrador acontrolar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quiénpuede ser autenticado (iniciar sesión) y estar autorizado (tener permisos) para utilizar los recursos de AWSSupport. IAM es un servicio de AWS que se puede utilizar sin costo adicional.

Temas• Público (p. 40)• Autenticación con identidades (p. 40)• Administración de acceso mediante políticas (p. 42)• Funcionamiento de AWS Support con IAM (p. 43)• Ejemplos de políticas basadas en identidad de AWS Support (p. 45)• Solución de problemas de identidad y acceso en AWS Support (p. 47)

Versión de API 2013-04-1539

AWS Support Guía del usuarioPúblico

PúblicoLa forma en que utilice AWS Identity and Access Management (IAM) difiere, en función del trabajo querealice en AWS Support.

Usuario de servicio: si utiliza el servicio AWS Support para realizar su trabajo, su administrador leproporciona las credenciales y los permisos que necesita. A medida que utilice más características deAWS Support para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo seadministra el acceso puede ayudarle a solicitar los permisos correctos a su administrador. Si no puedeacceder a una característica en AWS Support, consulte Solución de problemas de identidad y acceso enAWS Support (p. 47).

Administrador de servicio: si está a cargo de los recursos de AWS Support en su empresa, probablementetenga acceso completo a AWS Support. Su trabajo consiste en determinar qué a características yrecursos de AWS Support deben acceder sus empleados. A continuación, debe enviar solicitudes a suadministrador de IAM para cambiar los permisos de los usuarios de su servicio. Revise la informaciónde esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómosu empresa puede utilizar IAM con AWS Support, consulte Funcionamiento de AWS Support conIAM (p. 43).

Administrator de IAM: si es un administrador de IAM, es posible que quiera conocer información sobrecómo escribir políticas para administrar el acceso a AWS Support. Para ver ejemplos de políticas basadasen la identidad de AWS Support que puede utilizar en IAM, consulte Ejemplos de políticas basadas enidentidad de AWS Support (p. 45).

Autenticación con identidadesLa autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Para obtenermás información acerca del inicio de sesión con la Consola de administración de AWS, consulte Laconsola de IAM y la página de inicio de sesión en la Guía del usuario de IAM.

Debe estar autenticado (haber iniciado sesión en AWS) como Usuario de la cuenta raíz de AWS, usuariode IAM o asumiendo un rol de IAM. También puede utilizar la autenticación de inicio de sesión único desu empresa o incluso iniciar sesión con Google o Facebook. En estos casos, su administrador habráconfigurado previamente la federación de identidad mediante roles de IAM. Cuando obtiene acceso a AWSmediante credenciales de otra empresa, asume un rol indirectamente.

Para iniciar sesión directamente en la Consola de administración de AWS, use su contraseña con sucorreo electrónico usuario raíz o su nombre de usuario de IAM. Puede obtener acceso a AWS medianteprogramación utilizando sus claves de acceso usuario raíz o de usuario de IAM. AWS proporciona SDK yherramientas de línea de comandos para firmar criptográficamente su solicitud con sus credenciales. Si noutiliza las herramientas de AWS, debe firmar usted mismo la solicitud. Para ello, utilice Signature Version4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de laautenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS General Reference.

Independientemente del método de autenticación que utilice, es posible que también deba proporcionarinformación de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor(MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) en AWS en la Guía del usuario de IAM.

Usuario raíz de la cuenta de AWSCuando se crea por primera vez una cuenta de AWS, se comienza con una única identidad de inicio desesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidadrecibe el nombre de AWS de la cuenta de usuario raíz y se obtiene acceso a ella iniciando sesión con ladirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Le recomendamos que

Versión de API 2013-04-1540

AWS Support Guía del usuarioAutenticación con identidades

no utilice usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello,es mejor ceñirse a la práctica recomendada de utilizar exclusivamente usuario raíz para crear el primerusuario de IAM. A continuación, guarde las credenciales de usuario raíz en un lugar seguro y utilícelasúnicamente para algunas tareas de administración de cuentas y servicios.

Usuarios y grupos de IAMUn usuario de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos para unasola persona o aplicación. Un usuario de IAM puede tener credenciales a largo plazo, como un nombrede usuario y una contraseña o un conjunto de claves de acceso. Para obtener más información acerca decómo generar claves de acceso, consulte Administración de las claves de acceso de los usuarios de IAMen la Guía del usuario de IAM. Al generar claves de acceso para un usuario de IAM, asegúrese de ver yguardar de forma segura el par de claves. No puede recuperar la clave de acceso secreta en el futuro. Ensu lugar, debe generar un nuevo par de claves de acceso.

Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesióncomo grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los gruposfacilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener ungrupo cuyo nombre fuese Administradores de IAM y conceder permisos a dicho grupo para administrar losrecursos de IAM.

Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación,pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienencredenciales permanentes a largo plazo y los roles proporcionan credenciales temporales. Para obtenermás información, consulte Cuándo crear un usuario de IAM (en lugar de un rol) en la Guía del usuario deIAM.

Roles de IAMUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos. Es similar aun usuario de IAM, pero no está asociado a una determinada persona. Puede asumir temporalmente unrol de IAM en la Consola de administración de AWS cambiando de roles. Puede asumir un rol llamandoa una operación de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para obtenermás información acerca de los métodos para el uso de roles, consulte Uso de roles de IAM en la Guía delusuario de IAM.

Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

• Permisos de usuario temporales de IAM: un usuario de IAM puede asumir un rol de IAM para recibirtemporalmente permisos distintos que le permitan realizar una tarea concreta.

• Acceso de usuario federado: En lugar de crear un usuario de IAM, puede utilizar identidades existentesde AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de identidadesweb. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuariofederado cuando se solicita acceso a través de un proveedor de identidad. Para obtener másinformación acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.

• Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principal deconfianza) de otra cuenta obtenga acceso a los recursos de su cuenta. Los roles son la forma principalde conceder acceso entre cuentas. Sin embargo, con algunos servicios de AWS, puede asociar unapolítica directamente a un recurso (en lugar de utilizar un rol como proxy). Para obtener informaciónacerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas,consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía del usuario deIAM.

• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizaracciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos que

Versión de API 2013-04-1541

AWS Support Guía del usuarioAdministración de acceso mediante políticas

son necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles deservicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuandose cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solodentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puedecrear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permitaa Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargarlos datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulteCreación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.

• Aplicaciones que se ejecutan en Amazon EC2: Puede utilizar un rol de IAM para administrarcredenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizansolicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves deacceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición detodas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene elrol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Paraobtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que seejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Para obtener información acerca del uso de los roles de IAM, consulte Cuándo crear un rol de IAM (en vezde un usuario) en la Guía del usuario de IAM.

Administración de acceso mediante políticasPara controlar el acceso en AWS, se crean políticas y se asocian a identidades de IAM o recursos deAWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, definesus permisos. AWS evalúa estas políticas cuando una entidad principal (usuario raíz, usuario de IAM orol de IAM) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o sedeniega. Las mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtenermás información acerca de la estructura y el contenido de los documentos de política JSON, consulteInformación general de las políticas de JSON en la Guía del usuario de IAM.

Un administrador de IAM puede utilizar las políticas para especificar quién tiene acceso a los recursos deAWS y qué acciones se pueden realizar en dichos recursos. Cada entidad de IAM (usuario o rol) comienzasin permisos. En otras palabras, de forma predeterminada, los usuarios no pueden hacer nada, ni siquieracambiar sus propias contraseñas. Para conceder permiso a un usuario para hacer algo, el administradordebe asociarle una política de permisos. O bien el administrador puede añadir al usuario a un grupo quetenga los permisos necesarios. Cuando el administrador concede permisos a un grupo, todos los usuariosde ese grupo obtienen los permisos.

Las políticas de IAM definen permisos para una acción independientemente del método que se utilicepara realizar la operación. Por ejemplo, suponga que dispone de una política que permite la accióniam:GetRole. Un usuario con dicha política puede obtener información del usuario de la Consola deadministración de AWS, la AWS CLI o la API de AWS.

Políticas basadas en la identidadLas políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociara una identidad, como por ejemplo un usuario, un rol o un grupo de IAM. Estas políticas controlan quéacciones puede realizar dicha identidad, en qué recursos y en qué condiciones. Para obtener másinformación acerca de cómo crear una política basada en identidad, consulte Creación de políticas de IAMen la Guía del usuario de IAM.

Las políticas basadas en identidad pueden clasificarse además como políticas insertadas o políticasadministradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Laspolíticas administradas son políticas independientes que puede asociar a varios usuarios, grupos y rolesde su cuenta de AWS. Las políticas administradas incluyen las políticas administradas por AWS y laspolíticas administradas por el cliente. Para obtener más información acerca de cómo elegir una política

Versión de API 2013-04-1542

AWS Support Guía del usuarioFuncionamiento de AWS Support con IAM

administrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas enla Guía del usuario de IAM.

Otros tipos de políticasAWS admite otros tipos de políticas menos frecuentes. Estos tipos de políticas pueden establecer elmáximo de permisos que los tipos de políticas más frecuentes le otorgan.

• Límites de permisos: un límite de permisos es una característica avanzada que le permite definir lospermisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuarioo rol de IAM). Puede establecer un límite de permisos para una identidad. Los permisos resultantes sonla intersección de las políticas basadas en identidades de la entidad y los límites de sus permisos. Laspolíticas basadas en recursos que especifiquen el usuario o rol en el campo Principal no estaránrestringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anularáel permiso. Para obtener más información acerca de los límites de permisos, consulte see Límites depermisos para las entidades de IAM en la Guía del usuario de IAM.

• Políticas de control de servicios (SCP): las SCP son políticas de JSON que especifican los permisosmáximos para una organización o unidad organizativa (OU) en AWS Organizations. AWS Organizationses un servicio que le permite agrupar y administrar de forma centralizada varias cuentas de AWSque posee su negocio. Si habilita todas las funciones en una organización, entonces podrá aplicarpolíticas de control de servicio (SCP) a una o todas sus cuentas. Una SCP limita los permisos para lasentidades de las cuentas de miembros, incluido cada Usuario de la cuenta raíz de AWS. Para obtenermás información acerca de Organizaciones y las SCP, consulte Funcionamiento de las SCP en la Guíadel usuario de AWS Organizations.

• Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetrocuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Lospermisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y laspolíticas de la sesión. Los permisos también pueden proceder de una política basada en recursos. Unadenegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información,consulte Políticas de sesión en la Guía del usuario de IAM.

Varios tipos de políticasCuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicadosde entender. Para obtener información acerca de cómo AWS determina si permitir una solicitud cuandohay varios tipos de políticas implicados, consulte Lógica de evaluación de políticas en la Guía del usuariode IAM.

Funcionamiento de AWS Support con IAMAntes de utilizar IAM para administrar el acceso a AWS Support, debe saber qué características de IAMestán disponibles para su uso con AWS Support. Para obtener una perspectiva general de cómo AWSSupport y otros servicios de AWS funcionan con IAM, consulte Servicios de AWS que funcionan con IAMen la Guía del usuario de IAM.

Temas• Políticas basadas en identidad de AWS Support (p. 43)• Roles de IAM de AWS Support (p. 44)

Políticas basadas en identidad de AWS SupportCon las políticas basadas en identidades de IAM, puede especificar los recursos y las acciones permitidaso denegadas, así como las condiciones en las que se permiten o deniegan las acciones. AWS Support es

Versión de API 2013-04-1543

AWS Support Guía del usuarioFuncionamiento de AWS Support con IAM

compatible con acciones específicas. Para obtener más información acerca de los elementos que utiliza enuna política de JSON, consulte IAM Referencia de los elementos de las políticas de JSON en la Guía delusuario de IAM.

ActionsEl elemento Action de una política basada en la identidad de IAM describe la acción o las accionesespecíficas que la política permitirá o denegará. Las acciones de la política generalmente tienen el mismonombre que la operación de API de AWS asociada. La acción se utiliza en una política para otorgarpermisos para realizar la operación asociada.

Las acciones de políticas de AWS Support utilizan el siguiente prefijo antes de la acción: soporte:. Porejemplo, para conceder a alguien permiso para ejecutar una instancia Amazon EC2 con la operaciónAPI RunInstances de Amazon EC2, debe incluir la acción ec2:RunInstances en la política. Lasinstrucciones de política deben incluir un elemento NotAction o Action. AWS Support define su propioconjunto de acciones que describen las tareas que se pueden realizar con este servicio.

Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:

"Action": [ "ec2:action1", "ec2:action2"

Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todaslas acciones que comiencen con la palabra Describe, incluya la siguiente acción:

"Action": "ec2:Describe*"

Para ver una lista de acciones de AWS Support, consulte Acciones definidas por AWS Support en la Guíadel usuario de IAM.

EjemplosPara ver ejemplos de políticas basadas en identidad de AWS Support, consulte Ejemplos de políticasbasadas en identidad de AWS Support (p. 45).

Roles de IAM de AWS SupportUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos.

Uso de credenciales temporales con AWS SupportPuede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir unrol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamadaa operaciones de la API de AWS STS, como AssumeRole o GetFederationToken.

AWS Support admite el uso de credenciales temporales.

Roles vinculados a serviciosLos roles vinculados a servicios permiten a los servicios de AWS obtener acceso a los recursos de otrosservicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuentade IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos delos roles vinculados a servicios.

AWS Support admite roles vinculados a servicios. Para obtener más información acerca de cómo crear oadministrar roles vinculados a servicios de AWS Support, consulte Uso de roles vinculados a servicios paraAWS Support (p. 23).

Versión de API 2013-04-1544

AWS Support Guía del usuarioEjemplos de políticas basadas en identidad

Roles de servicio

Esta característica permite que un servicio asuma un rol de servicio en nombre de usted. Este rol permiteque el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre.Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que unadministrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar lafuncionalidad del servicio.

AWS Support admite roles de servicio.

Ejemplos de políticas basadas en identidad de AWSSupportDe forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear, ver ni modificarrecursos de AWS Support. Tampoco pueden realizar tareas mediante la Consola de administración deAWS, la AWS CLI, o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedanpermisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursosespecificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAMque necesiten esos permisos.

Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estosdocumentos de políticas de JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en laGuía del usuario de IAM.

Temas• Prácticas recomendadas relativas a políticas (p. 45)• Uso de la consola de AWS Support (p. 46)• Permitir a los usuarios ver sus propios permisos (p. 46)

Prácticas recomendadas relativas a políticasLas políticas basadas en identidad son muy eficaces. Determinan si alguien puede crear, acceder oeliminar los recursos de AWS Support de su cuenta. Siga estas directrices y recomendaciones al crear oeditar políticas basadas en identidad:

• Introducción sobre el uso de políticas administradas de AWS: para comenzar a utilizar AWS Supportrápidamente, utilice las políticas administradas de AWS para proporcionar a los empleados los permisosnecesarios. Estas políticas ya están disponibles en su cuenta y las mantiene y actualiza AWS. Paraobtener más información, consulte Introducción sobre el uso de permisos con políticas administradas deAWS en la Guía del usuario de IAM.

• Conceder privilegios mínimos: al crear políticas personalizadas, conceda solo los permisos necesariospara llevar a cabo una tarea. Comience con un conjunto mínimo de permisos y conceda permisosadicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que sondemasiado tolerantes e intentar hacerlos más severos más adelante. Para obtener más información,consulte Conceder privilegios mínimos en la Guía del usuario de IAM.

• Habilitar MFA para operaciones confidenciales: para mayor seguridad, obligue a los usuarios deIAM a que utilicen la autenticación multifactor (MFA) para acceder a recursos u operaciones de APIconfidenciales. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) enAWS en la Guía del usuario de IAM.

• Utilizar condiciones de política para mayor seguridad: en la medida en que sea práctico, defina lascondiciones en las que sus políticas basadas en identidad permitan el acceso a un recurso. Por ejemplo,puede escribir condiciones para especificar un rango de direcciones IP permitidas desde el que debeproceder una solicitud. También puede escribir condiciones para permitir solicitudes solo en un intervalo

Versión de API 2013-04-1545

AWS Support Guía del usuarioEjemplos de políticas basadas en identidad

de hora o fecha especificado o para solicitar el uso de SSL o MFA. Para obtener más información,consulte Elementos de la política de JSON de IAM: condición en la Guía del usuario de IAM.

Uso de la consola de AWS SupportPara acceder a la consola de AWS Support, debe tener un conjunto mínimo de permisos. Estos permisosdeben permitirle registrar y consultar los detalles sobre los recursos de AWS Support en su cuentade AWS. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisosnecesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) quetengan esa política.

Para asegurarse de que esas entidades puedan seguir usando la consola de AWS Support, asocietambién la siguiente política administrada de AWS a las entidades: Para obtener más información, consulteAdición de permisos a un usuario en la Guía del usuario de IAM:

No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadasa la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones que coincidancon la operación de API que intenta realizar.

Permitir a los usuarios ver sus propios permisosEn este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver laspolíticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluyepermisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la APIde AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Versión de API 2013-04-1546

AWS Support Guía del usuarioSolución de problemas

Solución de problemas de identidad y acceso en AWSSupportUtilice la información siguiente para diagnosticar y solucionar los problemas comunes que puedan surgircuando trabaje con AWS Support e IAM.

Temas• No tengo autorización para realizar la operación iam:PassRole (p. 47)• Quiero ver mis claves de acceso (p. 47)• Soy administrador y deseo permitir que otros obtengan acceso a AWS Support (p. 48)• Quiero permitir a personas externas a mi cuenta de AWS el acceso a mis recursos de AWS

Support (p. 48)

No tengo autorización para realizar la operación iam:PassRoleSi recibe un error que indica que no está autorizado para llevar a cabo la acción iam:PassRole, debeponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que le facilitósu nombre de usuario y contraseña. Pida a la persona que actualice sus políticas de forma que puedatransferir un rol a AWS Support.

Algunos servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de crear un nuevorol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado marymajor intentautilizar la consola para realizar una acción en AWS Support. Sin embargo, la acción requiere que elservicio cuente con permisos otorgados por un rol de servicio. Mary no tiene permisos para transferir el rolal servicio.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

En este caso, Mary pide a su administrador que actualice sus políticas para que pueda realizar la accióniam:PassRole.

Quiero ver mis claves de accesoDespués de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso encualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave deacceso secreta, debe crear un nuevo par de claves de acceso.

Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo,AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como unnombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con elmismo nivel de seguridad que para el nombre de usuario y la contraseña.

Important

No proporcione las claves de acceso a terceras personas, ni siquiera para que le ayuden a buscarel ID de usuario canónico. Si lo hace, podría conceder a otra persona acceso permanente a sucuenta.

Cuando cree un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave deacceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de sucreación. Si pierde la clave de acceso secreta, debe añadir nuevas claves de acceso a su usuario de IAM.

Versión de API 2013-04-1547

AWS Support Guía del usuarioValidación de la conformidad

Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de clavesantes de crear uno nuevo. Para ver las instrucciones, consulte Administración de las claves de acceso enla Guía del usuario de IAM.

Soy administrador y deseo permitir que otros obtengan acceso aAWS SupportPara permitir que otros obtengan acceso a AWS Support, debe crear una entidad de IAM (usuario o rol)para la persona o aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidadpara obtener acceso a AWS. A continuación, debe asociar una política a la entidad que le conceda lospermisos correctos en AWS Support.

Para comenzar de inmediato, consulte Creación del primer grupo y usuario delegado de IAM en la Guía delusuario de IAM.

Quiero permitir a personas externas a mi cuenta de AWS elacceso a mis recursos de AWS SupportPuede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedanutilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol.En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso(ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.

Para obtener más información, consulte lo siguiente:

• Para obtener información acerca de si AWS Support admite estas características, consulteFuncionamiento de AWS Support con IAM (p. 43).

• Para aprender cómo proporcionar acceso a sus recursos en cuentas de AWS de su propiedad, consulteProporcionar acceso a un usuario de IAM a otra cuenta de AWS de la que es propietario en la Guía delusuario de IAM.

• Para obtener información acerca de cómo ofrecer acceso a sus recursos a cuentas de AWS de terceros,consulte Proporcionar acceso a las cuentas de AWS propiedad de terceros en la Guía del usuario deIAM.

• Para obtener información acerca de cómo ofrecer acceso a la identidad federada, consulte Proporcionaracceso a usuarios autenticados externamente (identidad federada) en la Guía del usuario de IAM.

• Para obtener información acerca de la diferencia entre utilizar los roles y las políticas basadas enrecursos para el acceso entre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadasen recursos en la Guía del usuario de IAM.

Validación de conformidad para AWS SupportLos auditores externos evalúan la seguridad y la conformidad de AWS Support en distintos programas deconformidad de AWS. Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros.

Para obtener una lista de servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte Descarga de informes en AWS Artifact.

La responsabilidad respecto a la conformidad que recae en usted al utilizar AWS Support vienedeterminada por la confidencialidad de los datos, los objetivos de conformidad de su empresa y la

Versión de API 2013-04-1548

AWS Support Guía del usuarioResiliencia

legislación y normativas aplicables. AWS proporciona los siguientes recursos para ayudarle con losrequisitos de conformidad:

• Guías de inicio rápido de seguridad y conformidad– estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA– este documento técnicodescribe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

• Recursos de conformidad de AWS – este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• Evaluación de recursos con reglas en la Guía para desarrolladores de AWS Config – el servicio AWSConfig evalúa en qué medida las configuraciones de los recursos cumplen con las prácticas internas, lasdirectrices del sector y las normativas.

• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWSque le ayuda a comprobar la conformidad con las normas del sector de seguridad y las prácticasrecomendadas.

Resiliencia en AWS SupportLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Lasregiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladasque se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, ademásde baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas dedisponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructurastradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

PENDIENTE

Además de la infraestructura global de AWS, AWS Support ofrece varias características que le ayudan consus necesidades de resiliencia y copia de seguridad de los datos.

Seguridad de la infraestructura en AWS SupportComo servicio administrado, AWS Support está protegido por los procedimientos de seguridad de redglobales de AWS que se describen en el documento técnico Amazon Web Services: Información generalsobre procesos de seguridad.

Puede utilizar las llamadas a la API publicadas en AWS para obtener acceso a AWS Support a través dela red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles conconjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 yposteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Versión de API 2013-04-1549

AWS Support Guía del usuario

Historial de revisiónEn la siguiente tabla se describen los cambios importantes que se han realizado en la documentacióndesde la última versión del servicio de AWS Support.

• Versión de API: 2013-04-15• Última actualización de la documentación: 10 de enero de 2020

Cambiar Descripción Fecha de modificación

Seguridad de AWSSupport

Se ha agregado información sobre consideracionesde seguridad al usar AWS Support.

10 de enero de 2020

Uso de Trusted Advisorcomo Servicio Web

Se han añadido instrucciones puestas al día paraactualizar los datos de Trusted Advisor despuésde obtener la lista de comprobaciones de TrustedAdvisor.

01 de noviembrede 2018

Uso de roles vinculadosa servicios

Se ha añadido una nueva sección. 11 de julio de 2018

Introducción: Soluciónde problemas

Se han añadido enlaces de resolución deproblemas para Route 53 y AWS CertificateManager.

1 de septiembre de2017

Ejemplo deadministración decasos: Creación de uncaso

Se ha añadido una nota sobre el cuadro CC parausuarios que tienen el plan de soporte Basic.

1 de agosto de  2017

Monitorización delos resultados de lacomprobación deTrusted Advisor conEventos de CloudWatch

Se ha añadido una nueva sección. 18 de noviembrede 2016

Administración de casos Actualizados los nombres de niveles de gravedadde casos.

27 de octubre de 2016

Registrar llamadas aAPI de AWS Supportcon AWS CloudTrail

Se ha añadido una nueva sección. 21 de abril de 2016

Introducción: Soluciónde problemas

Se han añadido más enlaces de resolución deproblemas.

19  de mayo de 2015

Introducción: Soluciónde problemas

Se han añadido más enlaces de resolución deproblemas.

18 de noviembrede 2014

Introducción:Administración de casos

Actualizado para reflejar el Centro de soporte en laConsola de administración de AWS.

30 de octubre de 2014

Programación de lavida de un caso desoporte de AWS

Se ha añadido información sobre nuevoselementos de API para añadir archivos adjuntosa casos y para omitir comunicaciones de casos alrecuperar el historial de casos.

16 de julio de 2014

Versión de API 2013-04-1550

AWS Support Guía del usuario

Cambiar Descripción Fecha de modificación

Acceso a AWS Support Se han eliminado contactos de soporte designadoscomo método de acceso.

28  de mayo de 2014

Introducción Se ha añadido la sección Introducción. 13 de diciembre de2013

Publicación inicial Lanzamiento del nuevo servicio de AWS Support. 30 de abril de 2013

Versión de API 2013-04-1551

AWS Support Guía del usuario

AWS GlossaryFor the latest AWS terminology, see the AWS Glossary in the AWS General Reference.

Versión de API 2013-04-1552