AWS Artifact - Guía del usuario · 2020-04-21 · AWS Artifact Guía del usuario Paso 1: Crear un...

AWS ArtifactGuía del usuario

AWS Artifact Guía del usuario

AWS Artifact: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of Contents¿Qué es AWS Artifact? ....................................................................................................................... 1

¿Es la primera vez que usa AWS Artifact? ..................................................................................... 1Acceso a AWS Artifact ................................................................................................................ 1Protección de los documentos ...................................................................................................... 2Regiones de AWS Artifact ........................................................................................................... 2Precios de AWS Artifact .............................................................................................................. 2

Configuración ..................................................................................................................................... 3Inscripción en AWS .................................................................................................................... 3Creación de un grupo de administradores y un usuario de IAM .......................................................... 3

Introducción ....................................................................................................................................... 4Paso 1: Crear un grupo de administradores y agregar un usuario de IAM ............................................ 4Paso 2: Descargar un informe y administrar un acuerdo ................................................................... 5

Descarga de informes ......................................................................................................................... 6Obtención de permisos para otros informes .................................................................................... 6

Administración de acuerdos ................................................................................................................. 7Administración de un acuerdo para una sola cuenta ........................................................................ 7

Aceptación de un acuerdo con AWS ..................................................................................... 7Rescisión de un acuerdo con AWS ....................................................................................... 8

Administración de un acuerdo para varias cuentas .......................................................................... 8Aceptación de un acuerdo de su organización ........................................................................ 9Rescisión de un acuerdo de la organización ......................................................................... 10

Administración de un acuerdo sin conexión existente ..................................................................... 10Control del acceso ............................................................................................................................ 12

Crear una política de IAM .......................................................................................................... 12Crear un grupo de IAM .............................................................................................................. 22Crear un usuario de IAM y añadirlo a un grupo ............................................................................. 22

Historial de revisión ........................................................................................................................... 24

iii

AWS Artifact Guía del usuario¿Es la primera vez que usa AWS Artifact?

¿Qué es AWS Artifact?AWS Artifact proporciona descargas bajo demanda de documentos de seguridad y conformidad deAWS, como informes de Certificaciones ISO de AWS, Industria de tarjetas de pago (PCI) y Control deorganizaciones de servicios (SOC). Puede enviar los documentos de seguridad y conformidad (tambiénconocidos como elementos de auditoría) a los auditores o a las autoridades reguladoras para demostrarla seguridad y la conformidad de la infraestructura de AWS y los servicios que utiliza. También puede usarestos documentos como directrices para evaluar su propia arquitectura de nube y determinar la eficaciade los controles internos de su empresa. AWS Artifact proporciona documentos sobre AWS únicamente.Los clientes de AWS son responsables de desarrollar u obtener documentos que demuestren la seguridady conformidad de sus empresas. Para obtener más información, consulte el Modelo de responsabilidadcompartida.

También puede utilizar AWS Artifact para revisar, aceptar y rastrear el estado de los acuerdos de AWS,como el BAA (Business Associate Addendum). Un BAA suele ser necesario para las empresas sujetasa la ley estadounidense de portabilidad y responsabilidad de los seguros médicos (HIPAA, HealthInsurance Portability and Accountability Act) para garantizar que la información sanitaria protegida (PHI)esté convenientemente a salvo. Con AWS Artifact, puede aceptar los acuerdos con AWS y designarcuentas de AWS que puedan procesar legalmente información restringida. Puede aceptar un acuerdoen nombre de varias cuentas. Para aceptar acuerdos de varias cuentas, use AWS Organizations paracrear una organización. Para obtener más información, consulte Administración de sus acuerdos en AWSArtifact (p. 7).

Temas• ¿Es la primera vez que usa AWS Artifact? (p. 1)• Acceso a AWS Artifact (p. 1)• Protección de los documentos (p. 2)• Regiones de AWS Artifact (p. 2)• Precios de AWS Artifact (p. 2)

¿Es la primera vez que usa AWS Artifact?Si es la primera vez que usa AWS Artifact, le recomendamos que empiece leyendo las siguientessecciones:

• Protección de los documentos (p. 2)• Configuración de AWS Artifact (p. 3)• Introducción a AWS Artifact (p. 4)• Descarga de informes en AWS Artifact (p. 6)

Acceso a AWS ArtifactAWS Artifact cuenta con una interfaz de usuario basada en web, la consola de AWS Artifact. Si se hainscrito en una cuenta de AWS, podrá obtener acceso a la consola de AWS Artifact iniciando sesión enhttps://console.aws.amazon.com/artifact/ y seleccionando Artifact en la página de inicio de la consola. Siaún no tiene una cuenta de AWS, consulte Inscripción en AWS (p. 3).

Para obtener información sobre cómo crear permisos que controlen el acceso a la consola para usted yotros usuarios, consulte Creación de un grupo de administradores y un usuario de IAM (p. 3).

1

https://aws.amazon.com/compliance/shared-responsibility-model/


https://console.aws.amazon.com/artifact/

AWS Artifact Guía del usuarioProtección de los documentos

Protección de los documentosLos documentos de AWS Artifact son confidenciales y deben estar protegidos en todo momento. AWSArtifact usa el modelo de responsabilidad de conformidad compartida de AWS para sus documentos. Estosignifica que AWS es responsable de mantener los documentos protegidos mientras se encuentran en lanube de AWS, pero que la responsabilidad recae en usted cuando los descarga. AWS Artifact podría exigirla firma de un acuerdo de no divulgación (NDA) para poder descargar los documentos. Cada documentodescargado tiene una marca de agua única que puede rastrearse.

Solo podrá compartir documentos marcados como confidenciales dentro de su empresa, con lasautoridades reguladoras y con los auditores. No tiene permiso para compartir estos documentos con susclientes o en su sitio web. Le recomendamos encarecidamente que utilice un servicio de uso compartido dedocumentos seguro, como Amazon WorkDocs, para compartir documentos con otras personas. No envíeestos documentos por correo electrónico ni los cargue en sitios que no sean seguros.

Regiones de AWS ArtifactAWS Artifact está disponible en todas las regiones públicas.

Precios de AWS ArtifactAWS le proporciona los documentos y acuerdos de AWS Artifact de forma gratuita.

2


AWS Artifact Guía del usuarioInscripción en AWS

Configuración de AWS ArtifactAl inscribirse en AWS, su cuenta de AWS se inscribe automáticamente en todos los servicios de AWS,incluido AWS Artifact. Si aún no está inscrito en AWS, consulte Inscripción en AWS (p. 3).

Si desea crear y administrar los permisos y las identidades de los usuarios para limitar y proteger el accesoa los recursos de AWS, tanto para usted mismo como para otros usuarios que necesiten trabajar con losrecursos de AWS, consulte Creación de un grupo de administradores y un usuario de IAM (p. 3).

Temas• Inscripción en AWS (p. 3)• Creación de un grupo de administradores y un usuario de IAM (p. 3)

Inscripción en AWSSi no dispone de una cuenta de AWS, utilice el siguiente procedimiento para crearla.

Para inscribirse en AWS

1. Abra https://aws.amazon.com/ y elija Create an AWS Account.2. Siga las instrucciones en línea.

Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e introducir un númeroPIN con el teclado del teléfono. Anote su número de cuenta de AWS porque lo necesitará más adelante.

Creación de un grupo de administradores y unusuario de IAM

Cuando se inscriba en AWS, tendrá que proporcionar una dirección de correo electrónico y la contraseñaasociada a su cuenta de AWS. Estas son las credenciales raíz y proporcionan acceso completo a todoslos recursos de AWS. Sin embargo, le recomendamos encarecidamente que no utilice la cuenta raíz enlos accesos diarios. También le recomendamos que no comparta las credenciales de la cuenta con otraspersonas, lo que les proporcionaría acceso completo a su cuenta.

En lugar de iniciar sesión en la cuenta con sus credenciales raíz o de compartir las credenciales conotras personas, debe crear una identidad de usuario especial llamada usuario de IAM para usted y paracualquier persona que necesite tener acceso a un documento o acuerdo de AWS Artifact. Con esteenfoque, puede proporcionar datos de inicio de sesión diferentes a cada uno de los usuarios y concederlesúnicamente los permisos que necesitan para trabajar con documentos específicos. También puedeconceder a varios usuarios de IAM los mismos permisos concediendo los permisos a un grupo de IAMy añadiendo los usuarios de IAM al grupo. Para obtener más información, consulte Introducción a AWSArtifact (p. 4).

Si ya administra identidades de usuarios fuera de AWS, puede utilizar los proveedores de identidadesde IAM en lugar de crear usuarios de IAM en la cuenta de AWS. Para obtener más información, consulteProveedores de identidad y federación en la Guía del usuario de IAM.

3

https://aws.amazon.com/

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

AWS Artifact Guía del usuarioPaso 1: Crear un grupo de administradores

y agregar un usuario de IAM

Introducción a AWS ArtifactAWS Artifact ofrece una serie de documentos que se pueden descargar y permite aceptar y administraracuerdos legales como el acuerdo BAA (Business Associate Addendum). Si utiliza AWS Organizations,puede aceptar acuerdos en nombre de todas las cuentas de la organización. Cuando los acepte, todas lascuentas miembro existentes y posteriores estarán cubiertas automáticamente por el acuerdo.

En este tutorial introductorio aprenderá a configurar permisos y a descargar informes o administraracuerdos a través de los siguientes pasos:

1. Paso 1: Crear un grupo de administradores y agregar un usuario de IAM2. Paso 2: Descargar un informe y administrar un acuerdo

Paso 1: Crear un grupo de administradores yagregar un usuario de IAM

En este paso, creará un grupo de administradores, creará un usuario de IAM para usted y añadirá suusuario de IAM al grupo. La creación de un grupo de IAM le permite asociar los permisos a un grupo enlugar de a un usuario concreto, y puede conceder los mismos permisos a otros usuarios añadiéndolos algrupo.

Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores(consola)

1. Inicie sesión en la consola de IAM como el propietario de la cuenta; para ello, elija Usuario raíz yescriba su dirección de correo electrónico de la cuenta de AWS. En la siguiente página, escriba sucontraseña.

Note

Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAMAdministrator como se indica a continuación y guardar de forma segura las credencialesde usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas deadministración de servicios y de cuentas.

2. En el panel de navegación, elija Users (Usuarios) y, a continuación, elija Add user (Añadir usuario).3. En User name (Nombre de usuario), escriba Administrator.4. Marque la casilla situada junto a Consola de administración de AWS access (Acceso a la Consola de

administración de AWS). A continuación, seleccione Custom password (Contraseña personalizada) yluego escriba la nueva contraseña en el cuadro de texto.

5. (Opcional) De forma predeterminada, AWS requiere al nuevo usuario que cree una nueva contraseñala primera vez que inicia sesión. Puede quitar la marca de selección de la casilla de verificaciónsituada junto a User must create a new password at next sign-in (El usuario debe crear una nuevacontraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseñadespués de iniciar sesión.

6. Elija Next: Permissions.7. En Set permissions (Establecer persmisos), elija Add user to group (Añadir usuario a grupo).8. Elija Create group (Crear grupo).9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba

Administrators.

4

https://console.aws.amazon.com/iam/

https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html


AWS Artifact Guía del usuarioPaso 2: Descargar un informe y administrar un acuerdo

10. Elija Filter policies (Filtrar políticas) y, a continuación, seleccione AWS managed -job function (Funciónde trabajo administrada por AWS) para filtrar el contenido de la tabla.

11. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elijaCreate group (Crear grupo).

Note

Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar la lospermisos AdministratorAccess para el acceso a la consola de AWS Billing and CostManagement. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobrecómo delegar el acceso a la consola de facturación.

12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si esnecesario para ver el grupo en la lista.

13. Elija Next: Tags (Siguiente: Etiquetas).14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener

más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en laGuía del usuario de IAM.

15. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario.Cuando esté listo para continuar, elija Create user (Crear usuario).

Puede usar este mismo proceso para crear más grupos y usuarios y para conceder a los usuarios accesoa los recursos de la cuenta de AWS. Para obtener información sobre cómo usar las políticas que restringenlos permisos de los usuarios a recursos de AWS específicos, consulte Administración de acceso y Políticasde ejemplo.

Note

Para obtener información sobre las políticas de IAM que son específicas de AWS Artifact, consulteControl del acceso (p. 12).

Puede repetir los pasos del uno al seis anteriores y elegir el grupo Administrators (Administradores) de lalista para conceder permisos de administrador a otros usuarios de IAM.

Paso 2: Descargar un informe y administrar unacuerdo

Ahora que ha configurado las políticas y los usuarios de IAM, puede descargar un documento siguiendoel procedimiento que se describe en Descarga de informes en AWS Artifact. También puede administrarsus acuerdos de AWS. Para obtener más información, consulte Administración de sus acuerdos en AWSArtifact.

5

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html

AWS Artifact Guía del usuarioObtención de permisos para otros informes

Descarga de informes en AWSArtifact

Puede descargar informes desde la consola de AWS Artifact. Cuando descarga un informe de AWSArtifact, dicho informe se genera específicamente para usted y cada informe tiene una marca de aguaúnica. Por este motivo, solamente debe compartir los informes con las personas en las que confía. Noenvíe por correo electrónico los informes como archivos adjuntos y no los comparta online. Si necesitacompartir un informe, utilice un servicio de uso compartido seguro, como Amazon WorkDocs. Algunosinformes requieren que se firme un contrato de confidencialidad (NDA) antes de poder descargarlos.

Para descargar un informe, debe contar con los permisos apropiados. Para obtener más información sobrelos permisos, consulte Control del acceso (p. 4).

Para descargar un documento

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Artifact en https://console.aws.amazon.com/artifact/.

2. En el panel de AWS Artifact, elija Reports (Informes).3. Localice el informe y, a continuación, elija Get this artifact (Obtener este artefacto).4. Lea los Terms and conditions (Términos y condiciones) del documento. Es posible que se le pida que

firme un acuerdo de confidencialidad (NDA) para descargar el documento.

Note

El acuerdo de confidencialidad es un contrato legalmente vinculable. Le recomendamos quelo lea con atención.

5. Después de leer los Terms and Conditions (Términos y condiciones), seleccione la casilla deverificación de la parte inferior de la página y, a continuación, elija Accept and download (Aceptar ydescargar). AWS Artifact genera el archivo y lo abre en otra ventana.

6. En la ventana del documento, elija Save File (Guardar archivo) o Open with (Abrir con) AdobeAcrobat Reader y, a continuación, elija OK (Aceptar). El documento se ha descargado a la ubicaciónespecificada en el equipo o se ha abierto en Adobe Reader.

Obtención de permisos para otros informesCuando se inscribe en AWS Artifact, automáticamente se conceden los permisos necesarios a su cuentapara descargar algunos informes. Si necesita solicitar acceso a otros informes incluidos en la lista, utilice elformulario proporcionado para solicitar acceso a AWS.

6



https://aws.amazon.com/artifact/access-request/

AWS Artifact Guía del usuarioAdministración de un acuerdo para una sola cuenta

Administración de sus acuerdos enAWS Artifact

AWS Artifact Agreements le permite usar la Consola de administración de AWS para revisar, aceptar yadministrar acuerdos de su cuenta u organización. Por ejemplo, un acuerdo BAA (Business AssociateAddendum) suele ser necesario para las empresas sujetas a la ley estadounidense de portabilidad yresponsabilidad de los seguros médicos (HIPAA, Health Insurance Portability and Accountability Act) paragarantizar que la información sanitaria protegida (PHI) esté convenientemente a salvo. Puede utilizar AWSArtifact para firmar un acuerdo como el acuerdo BAA con AWS y designar una cuenta de AWS que puedaprocesar información sanitaria protegida (PHI) legalmente. Si utiliza AWS Organizations puede aceptaracuerdos como el BAA de AWS en nombre de todas las cuentas de la organización. Todas las cuentasmiembro existentes y posteriores estarán cubiertas automáticamente por el acuerdo y podrán procesar PHIlegalmente.

También puede usar AWS Artifact para confirmar que su cuenta de AWS u organización ha aceptado unacuerdo y para revisar las condiciones del acuerdo aceptado para conocer sus obligaciones. Si su cuentau organización ya no necesita usar el acuerdo aceptado, puede utilizar AWS Artifact Agreements pararescindir el acuerdo. Si termina el contrato pero después desea usarlo, puede activarlo de nuevo.

Administración de un acuerdo para una sola cuentaPuede aceptar acuerdos solo para su cuenta aunque su cuenta sea una cuenta miembro de unaorganización en AWS Organizations. Para obtener más información sobre AWS Organizations, consulteGuía del usuario de AWS Organizations.

Aceptación de un acuerdo con AWSSi usted es un administrador de una cuenta, puede conceder a los usuarios de IAM y a los usuariosfederados con funciones los permisos para obtener acceso y administrar uno o varios de sus acuerdos. Deforma predeterminada, solo los usuarios con privilegios administrativos pueden aceptar un acuerdo. Paraaceptar un acuerdo, los usuarios de IAM y federados deben tener los siguientes permisos:

artifact:DownloadAgreementartifact:AcceptAgreement

Para obtener más información acerca de estos permisos, consulte Crear una política de IAM (p. 12).Important

Antes de aceptar un acuerdo, le recomendamos que se ponga en contacto con su equipo jurídico,de privacidad y de conformidad.

Para aceptar un acuerdo con AWS


2. En el panel de navegación de AWS Artifact, seleccione Agreements (Acuerdos).3. Elija la pestaña Account agreements (Acuerdos de la cuenta).4. Expanda la sección del acuerdo que desee.

7

https://docs.aws.amazon.com/organizations/latest/userguide/



AWS Artifact Guía del usuarioRescisión de un acuerdo con AWS

5. Elija Download and review (Descargar y revisar).6. En la ventana Terms and conditions (Términos y condiciones), seleccione Accept and download

(Aceptar y descargar).Note


7. Examine el acuerdo y seleccione las casillas de verificación para indicar que está de acuerdo con elcontenido.

8. Elija Accept (Aceptar) para aceptar el acuerdo de su cuenta.

Rescisión de un acuerdo con AWSSi ha utilizado la consola de AWS Artifact para aceptar un acuerdo, puede usar la consola para rescindirlo.Para rescindir un acuerdo, los usuarios de IAM y federados deben tener los siguientes permisos:

artifact:TerminateAgreement

Para obtener más información acerca de estos permisos, consulte Crear una política de IAM (p. 12).Note

Si no ha utilizado la consola de AWS Artifact para aceptar un acuerdo, no puede usar la consolapara rescindir dicho acuerdo. Para obtener más información, consulte Administración de unacuerdo sin conexión existente (p. 10).

Para rescindir su acuerdo online con AWS


2. En el panel de navegación de AWS Artifact, seleccione Agreements (Acuerdos).3. Elija la pestaña Account agreements (Acuerdos de la cuenta).4. En el acuerdo que desee terminar, seleccione Terminate agreement for this account (Terminar el

acuerdo de esta cuenta).5. Elija la sección Terminate (Terminar).6. Seleccione todas las casillas de verificación para indicar que está de acuerdo con terminar el acuerdo.7. Seleccione el botón Terminate (Terminar). Cuando se le pida, selecciónelo de nuevo.

Administración de un acuerdo para varias cuentasSi es el propietario de la cuenta maestra de una organización de AWS Organizations, puede aceptar unacuerdo en nombre de todas las cuentas de su organización. Debe iniciar sesión en la cuenta maestracon los permisos de AWS Artifact correctos para aceptar o rescindir acuerdos de la organización. Losusuarios de cuentas miembro con permisos describeOrganizations pueden consultar los acuerdos dela organización que se aceptan en su nombre.

Si su cuenta no forma parte de una organización, puede crear o unirse a una organización siguiendo lasinstrucciones que se indican en Creación y administración de un AWS Organizations.

Notas

• AWS Organizations tiene dos conjuntos de características disponibles: características defacturación unificada y todas las características. Para utilizar AWS Artifact para su organización,

8



https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html

AWS Artifact Guía del usuarioAceptación de un acuerdo de su organización

la organización a la que pertenezca debe estar habilitada para todas las características. Si suorganización está configurada solo para la facturación unificada, consulte Habilitar todas lascaracterísticas en la organización.

• Si una cuenta miembro se elimina de una organización, dicha cuenta miembro ya no estarácubierta por los acuerdos de la organización. Los administradores de cuentas maestrasdeben comunicar esto a las cuentas miembro antes de eliminar las cuentas miembro de laorganización, para que dichas cuentas miembro puedan formalizar nuevos acuerdos si esnecesario. Puede consultar una lista de los acuerdos activos de la organización en AWS ArtifactOrganization Agreements (Acuerdos de la organización de AWS Artifact).

Para obtener más información sobre AWS Organizations y las cuentas maestras, consulte Administraciónde las cuentas de AWS de su organización. Para obtener más información acerca de cómo configurar unacuenta de administrador para AWS Artifact, consulte Paso 1: Crear un grupo de administradores y agregarun usuario de IAM (p. 4).

Aceptación de un acuerdo de su organizaciónPuede aceptar un acuerdo en nombre de todas las cuentas miembro de su organización en AWSOrganizations. Para aceptar un acuerdo, el propietario de la cuenta maestra debe disponer de lossiguientes permisos:

artifact:DownloadAgreementartifact:AcceptAgreementorganizations:DescribeOrganization organizations:EnableAWSServiceAccess organizations:ListAWSServiceAccessForOrganizationiam:ListRoles iam:CreateRole iam:AttachRolePolicy

Para obtener más información acerca de estos permisos, consulte Crear una política de IAM (p. 12).Important

Antes de aceptar un acuerdo, le recomendamos que se ponga en contacto con su equipo jurídico,de privacidad y de conformidad.

Para aceptar un acuerdo de una organización


2. En el panel de AWS Artifact, seleccione Agreements (Acuerdos).3. Elija la pestaña Organization agreements (Acuerdos de la organización).4. Expanda la sección del acuerdo que desee.5. Elija Download and review (Descargar y revisar).6. En la ventana Terms and conditions (Términos y condiciones), seleccione Accept and download

(Aceptar y descargar).Note


7. Examine el acuerdo y seleccione las casillas de verificación para indicar que está de acuerdo con elcontenido.

8. Elija Accept (Aceptar) para aceptar el acuerdo de todas las cuentas existentes y futuras de suorganización.

9

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#feature-set

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html

http://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements

http://console.aws.amazon.com/artifact/home?#!/agreements?tab=organizationAgreements

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html



AWS Artifact Guía del usuarioRescisión de un acuerdo de la organización

Rescisión de un acuerdo de la organizaciónSi ha usado la consola de AWS Artifact para aceptar un acuerdo en nombre de todas las cuentas miembrode una organización, puede usar la consola para rescindir el acuerdo. Para rescindir un acuerdo, elpropietario de la cuenta maestra debe disponer de los siguientes permisos:

artifact:DownloadAgreementartifact:TerminateAgreementorganizations:DescribeOrganization organizations:EnableAWSServiceAccess organizations:ListAWSServiceAccessForOrganizationiam:ListRoles iam:CreateRole iam:AttachRolePolicy

Para obtener más información acerca de la creación de políticas, consulte Crear una política deIAM (p. 12).

Note

Si no ha utilizado la consola de AWS Artifact para aceptar un acuerdo, no puede usar la consolapara rescindir dicho acuerdo.Para obtener más información, consulte Administración de un acuerdo sin conexiónexistente (p. 10).

Para rescindir el acuerdo de su organización online con AWS


2. En el panel de AWS Artifact, seleccione Agreements (Acuerdos).3. Elija la pestaña Organization agreements (Acuerdos de la organización).4. En el acuerdo que desee terminar, seleccione Terminate agreement for this account (Terminar el

acuerdo de esta cuenta).5. Elija la sección Terminate (Terminar).6. Seleccione todas las casillas de verificación para indicar que está de acuerdo con terminar el acuerdo.7. Seleccione el botón Terminate (Terminar). Cuando se le pida, selecciónelo de nuevo.

Administración de un acuerdo sin conexiónexistente

Para poder ver los acuerdos aceptados por primera vez, incluidos los que ha aceptado sin conexión, sigael proceso Introducción a AWS Artifact (p. 4). Después de realizar todos los pasos iniciales, podrá usar laconsola de AWS Artifact para ver sus acuerdos sin conexión.

Si tiene un acuerdo sin conexión existente, AWS Artifact muestra los acuerdos que ha aceptado sinconexión. Por ejemplo, en la consola se podría mostrar el acuerdo Offline Business Associate Addendum(BAA) con el estado Active (Activo). El estado activa indica que el acuerdo se ha aceptado. Para rescindirun acuerdo sin conexión, consulte las directrices e instrucciones de rescisión incluidas con su acuerdo.

Si su cuenta es la cuenta maestra de una organización de AWS Organizations, puede usar AWSArtifact para aplicar las condiciones de su contrato sin conexión a todas las cuentas de su organización.Para aplicar un acuerdo que ha aceptado sin conexión a su organización y a todas las cuentas de suorganización, debe tener los siguientes permisos:

10



AWS Artifact Guía del usuarioAdministración de un acuerdo sin conexión existente

organizations:DescribeOrganization organizations:EnableAWSServiceAccess organizations:ListAWSServiceAccessForOrganizationiam:ListRoles iam:CreateRole iam:AttachRolePolicy

Si su cuenta es una cuenta miembro de una organización, debe tener los siguientes permisos para ver losacuerdos de la organización sin conexión:

organizations:DescribeOrganization

Para obtener más información acerca de la creación de políticas, consulte Crear una política deIAM (p. 12).

11

AWS Artifact Guía del usuarioCrear una política de IAM

Control del accesoSu cuenta administrativa tiene todos los permisos necesarios para administrar acuerdos, pero diferentesdocumentos y acuerdos pueden requerir que delegue permisos de manera diferente a varias cuentas deusuario. Puede delegar permisos mediante el uso de políticas de IAM.

Para conceder acceso no administrativo, debe crear una política, asociar la política a un grupo y añadirusuarios de IAM al grupo.

1. Crear una política de IAM2. Crear un grupo de IAM3. Crear un usuario de IAM y añadirlo a un grupo

Crear una política de IAMCree una política de permisos que conceda permisos a usuarios de IAM. Los permisos permiten a losusuarios obtener acceso a los informes de AWS Artifact, y aceptar y descargar acuerdos en nombre deuna cuenta o una organización. En las siguientes tablas se desglosan los permisos que puede asignar alos usuarios de IAM en función del nivel de acceso que necesiten.

• Permisos de informes• Permisos de acuerdos• Políticas de IAM de AWS Artifact comunes• Para crear una política de IAM

Permisos de informes

Nombre del permiso Permisos concedidos Ejemplo de política de IAM

Get Concede al usuario de IAMpermiso para descargar todos losinformes que están accesiblespara la cuenta raíz.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get" ], "Resource": [ "arn:aws:artifact:::report-package/*" ] } ]}

12


Permisos de acuerdos

Nombre delpermiso

Permisos concedidos Ejemplo de política de IAM

DownloadAgreementConcede al usuario de IAM permiso paradescargar todos los acuerdos que estánaccesibles para la cuenta raíz.

Los usuarios de IAM no tienen estepermiso para aceptar acuerdos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:DownloadAgreement" ], "Resource": [ "*" ] } ]}

AcceptAgreementConcede al usuario de IAM permiso paraaceptar un acuerdo en nombre de la cuentaraíz.Los usuarios de IAM también deben tenerpermiso para descargar acuerdos parapoder aceptar un acuerdo.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement" ], "Resource": [ "*" ] } ]}

TerminateAgreementConcede al usuario de IAM permiso pararescindir un acuerdo en nombre de lacuenta raíz.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:TerminateAgreement" ], "Resource": [ "*" ] } ]}

DescribeOrganizationConcede al usuario de IAM permisopara recuperar información sobre laorganización de AWS Organizations a laque pertenece la cuenta del usuario.

Tanto las cuentas maestras como lascuentas miembro necesitan el permiso

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization"

13


Nombre delpermiso


DescribeOrganizations para consultaro usar acuerdos de la organización. ],

"Resource": "*" } ]}

• ListRoles

• CreateRole

• AttachRolePolicy

Concede al usuario de IAM permiso paracrear un rol de IAM que usa AWS Artifactpara integrarse con AWS Organizations.

La cuenta maestra de la organización debetener estos permisos para empezar a usaracuerdos de la organización.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::*:role/*" }, { "Effect": "Allow", "Action": "iam:CreateRole", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync" }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync", "Condition": { "ArnEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync" } } } ]}

14


Nombre delpermiso


• EnableAWSServiceAccess

• ListAWSServiceAccessForOrganization

Concede al usuario de IAM permiso paraconceder a AWS Artifact los permisos parausar AWS Organizations. Para obtener másinformación acerca de AWS Organizations,consulte Administración de sus acuerdosen AWS Artifact.

La cuenta maestra de la organización debetener estos permisos para empezar a usaracuerdos de la organización.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ]}

Estas son las políticas para siete de los casos de uso más comunes.

Políticas de IAM de AWS Artifact comunes

Caso de uso Nombres de permisos Política de ejemplo

Acceso completo para descargarinformes y administrar acuerdos

artifact:Get

artifact:AcceptAgreement

artifact:DownloadAgreement



organizations:EnableAWSServiceAccess

organizations:ListAccounts

organizations:ListAWSServiceAccessForOrganization

iam:CreateRole

iam:AttachRolePolicy

iam:ListRoles

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get", "artifact:AcceptAgreement", "artifact:DownloadAgreement", "artifact:TerminateAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*", "arn:aws:artifact:::report-package/*" ] }, { "Effect": "Allow", "Action": "iam:ListRoles",

15


Caso de uso Nombres de permisos Política de ejemplo "Resource": "arn:aws:iam::*:role/*" }, { "Effect": "Allow", "Action": "iam:CreateRole", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync" }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync", "Condition": { "ArnEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync" } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ]}

16



Permiso para descargar informes artifact:Get{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get" ], "Resource": [ "arn:aws:artifact:::report-package/*" ] } ]}

17



Permisos para empezar a usaracuerdos de la organización yadministrarlos

Solo para la cuenta maestra





organizations:EnableAWSServiceAccess

organizations:ListAccounts

organizations:ListAWSServiceAccessForOrganization

iam:CreateRole

iam:AttachRolePolicy

iam:ListRoles

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement", "artifact:TerminateAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::*:role/*" }, { "Effect": "Allow", "Action": "iam:CreateRole", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync" }, { "Effect": "Allow", "Action": "iam:AttachRolePolicy", "Resource": "arn:aws:iam::*:role/service-role/AWSArtifactAccountSync", "Condition": { "ArnEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AWSArtifactAccountSync" } } }, {

18


Caso de uso Nombres de permisos Política de ejemplo "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ]}

Permisos para administraracuerdos de la organización

Solo para la cuenta maestra.Debe configurar los acuerdos dela organización previamente.





{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:DownloadAgreement", "artifact:TerminateAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization" ], "Resource": "*" } ]}

19



Permisos para consultaracuerdos de la organización



{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:DownloadAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization" ], "Resource": "*" } ]}

Permisos para consultar ydescargar acuerdos

artifact:DownloadAgreement{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:DownloadAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] } ]}

20



Permisos para que un usuarioadministre los acuerdos de unasola cuenta




{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:AcceptAgreement", "artifact:TerminateAgreement", "artifact:DownloadAgreement" ], "Resource": [ "arn:aws:artifact::*:customer-agreement/*", "arn:aws:artifact:::agreement/*" ] } ]}

Para crear una política de IAM

Utilice el siguiente procedimiento para crear una política de IAM. Puede usar la suya propia o puede usaralguna de las políticas de las tablas anteriores.

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Policies.3. Elija Create Policy.4. Seleccione Create Your Own Policy.5. En Policy Name, escriba un nombre único que le ayude a recordar la finalidad de la política.6. En Description (Descripción), escriba un nombre y la descripción de la política.7. En Policy Document (Documento de política), copie y pegue uno dePermisos de informes (p. 12)

las tablas Permisos de acuerdos (p. 13), Políticas de IAM de AWS Artifact comunes (p. 15) ocopie y pegue la siguiente política para conceder acceso únicamente a los informes de AWS PCI,SOC e ISO en AWS Artifact:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get" ], "Resource": [ "arn:aws:artifact:::report-package/Certifications and Attestations/SOC/*", "arn:aws:artifact:::report-package/Certifications and Attestations/PCI/*",

21



AWS Artifact Guía del usuarioCrear un grupo de IAM

"arn:aws:artifact:::report-package/Certifications and Attestations/ISO/*" ] } ]}

Para eliminar los permisos de un tipo concreto de informe, quite la línea de ese tipo de informe. Porejemplo, para eliminar los informes de SOC, elimine la siguiente línea:

"arn:aws:artifact:::report-package/Certifications and Attestations/SOC/*",

8. Elija Validate Policy.9. Elija Create Policy.

Ahora que ha creado la política, puede vincularla a un grupo.

Crear un grupo de IAMEn el procedimiento anterior, creó una política de permisos. Puede asociar la política a un grupo y añadirotros usuarios de IAM al grupo en cualquier momento.

Para crear un grupo de IAM y asociar la política


2. En el panel de navegación de la consola, elija Groups (Grupos) y, a continuación, Create New Group(Crear nuevo grupo).

3. En Group Name (Nombre del grupo), escriba un nombre para el grupo de IAM y seleccione Next Step(Paso siguiente).

4. En el cuadro de búsqueda, escriba el nombre de la política que ha creado.5. En la lista de políticas, active la casilla de verificación de su política. A continuación, elija Next Step.6. Revise el nombre del grupo y las políticas. Cuando esté listo para continuar, elija Create Group (Crear

grupo).

Ahora que ha creado el grupo y le ha asociado la política, puede añadir un usuario al grupo.

Crear un usuario de IAM y añadirlo a un grupoEn el procedimiento anterior, creó una política de IAM, creó un grupo y asoció la política al grupo. Puedeañadir usuarios de IAM al grupo en cualquier momento.

Para crear un usuario de IAM y añadirlo a un grupo


Note

Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAMAdministrator como se indica a continuación y guardar de forma segura las credenciales

22



AWS Artifact Guía del usuarioCrear un usuario de IAM y añadirlo a un grupo

de usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas deadministración de servicios y de cuentas.

2. En el panel de navegación de la consola, elija Users (Usuarios) y, a continuación, elija Add user(Añadir usuario).

3. En User name (Nombre de usuario), escriba un nombre para el usuario.4. Active la casilla de verificación situada junto a Consola de administración de AWS access (Acceso a

la consola de AWS Management), seleccione Custom password (Contraseña personalizada) y escribala contraseña del nuevo usuario en el cuadro de texto. También puede seleccionar Require passwordreset (Obligar a restablecer contraseña) para obligar al usuario a crear una nueva contraseña lapróxima vez que inicie sesión.

5. Elija Next: Permissions (Siguiente: Permisos).6. En la página Set permissions for user, elija Add user to group.7. En la lista de grupos, active la casilla de verificación del nuevo grupo. Elija Refresh si es necesario

para ver el grupo en la lista.8. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario.

Cuando esté listo para continuar, elija Create user.

Ahora que ha creado el grupo, le ha asociado la política y ha añadido un usuario al grupo, puede añadirmás usuarios o grupos con permisos diferentes mediante los mismos procedimientos.

23




Historial de revisión de AWS ArtifactEn la siguiente tabla se describe la documentación de esta versión de AWS Artifact.

• Última actualización de la documentación: 20 de junio de 2018

Cambiar Descripción Fecha

Acuerdos de AWS Organizations Se ha añadido documentaciónpara administrar los acuerdos deuna organización.

20 de junio de 2018

Acuerdos Se ha añadido documentaciónpara administrar acuerdos deAWS Artifact.

13 de junio de 2017

Publicación de la documentación Primera versión de ladocumentación. Incluyeinformación sobre laconfiguración, los primeros pasosy la descarga de documentos.

30 de noviembre de 2016

24

AWS Artifact - Guía del usuario · 2020-04-21 · AWS Artifact Guía del usuario Paso 1: Crear un...

Documents

Transcript of AWS Artifact - Guía del usuario · 2020-04-21 · AWS Artifact Guía del usuario Paso 1: Crear un...