AWS Identity and Access Management
Guía del usuario

Funciones de trabajos de AWS Managed Policies

Las políticas administradas por AWS de funciones se han creado para estar en consonancia con las funciones comunes del sector de TI. Puede utilizar estas políticas para conceder fácilmente los permisos necesarios para realizar las tareas que se esperan de alguien en una determinada función. Estas políticas agrupan permisos para numerosos servicios en una única política, lo que facilita el trabajo, ya que los permisos no están diseminados en varias políticas.

Puede asociar estas políticas para las funciones de trabajo a cualquier usuario, grupo o rol.

Uso de roles para combinar servicios

Algunas de las políticas utilizan los roles del servicio IAM para ayudarle a sacar partido de las características de otros servicios de AWS. Estas políticas conceden acceso a iam:passrole, que permite a un usuario con la política transmitir un rol a un servicio de AWS. Este rol delega los permisos de IAM al servicio de AWS para llevar a cabo acciones en su nombre.

Debe crear los roles en función de sus necesidades. Por ejemplo, la política de administrador de red permite a un usuario con la política transmitir un rol denominado "flow-logs-vpc" al servicio de Amazon CloudWatch. CloudWatch utiliza dicho rol para registrar y capturar el tráfico IP de las VPC creadas por el usuario.

Para seguir las prácticas recomendadas de seguridad, las políticas de funciones incluyen filtros que limitan los nombres de roles válidos que pueden transmitirse. Esto evita la concesión de permisos innecesarios. Si los usuarios necesitan los roles de servicio opcionales, debe crear un rol que utilice la convención de nomenclatura especificada en la política. A continuación, conceda los permisos al rol. A continuación, el usuario podrá configurar el servicio para utilizar el rol, concediéndole cualquier permiso que el rol proporcione.

Manténgase al día

AWS mantiene todas estas políticas y las actualiza para incluir soporte de nuevos servicios y nuevas funciones a medida que AWS los agrega. Los clientes no pueden modificar estas políticas. Puede realizar una copia de la política y, a continuación, modificar la copia, pero que no se actualiza automáticamente como copia de AWS introduce nuevos servicios y operaciones del API.

Funciones

En las secciones siguientes, cada nombre de política es un enlace a la página de detalles de la política en la Consola de administración de AWS. Ahí puede ver el documento de la política y revisar los permisos que concede.

Administrador

Nombre de la política administrada por AWS: AdministratorAccess

Caso de uso: este usuario tiene acceso completo y puede delegar permisos a cada servicio y recurso de AWS.

Descripción de la política: esta política concede permisos para todas las acciones de todos los servicios de AWS y todos los recursos de la cuenta.

nota

Antes de que un usuario o rol de IAM pueda acceder a la consola de AWS Billing and Cost Management con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

Facturación

Nombre de la política administrada por AWS: Billing

Caso de uso: este usuario necesita ver la información de facturación, configurar un pago y autorizarlo. El usuario puede monitorizar los costos acumulados de cada servicio de AWS.

Descripción de la política: esta política concede permisos completos para administrar la facturación, los costos, los métodos de pago, los presupuestos y los informes.

nota

Antes de que un usuario o rol de IAM pueda acceder a la consola de AWS Billing and Cost Management con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

Administrador de base de datos

Nombre de política administrada por AWS: DatabaseAdministrator

Caso de uso: este usuario configura y mantiene las bases de datos de la nube de AWS.

Descripción de la política: esta política concede permisos para crear, configurar y mantener bases de datos. Incluye el acceso a los servicios de bases de datos de AWS, como, por ejemplo Amazon DynamoDB, Amazon Relational Database Service (RDS) y Amazon Redshift. Vea la política para conocer la lista completa de servicios de base de datos que admite.

Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Esta política permite la acción iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de administrador de base datos

Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse Seleccionar esta política administrada por AWS
Permitir al usuario que monitorice las bases de datos de RDS rds-monitoring-role Rol de Amazon RDS para una monitorización mejorada AmazonRDSEnhancedMonitoringRole
Permitir que AWS Lambda monitorice la base de datos y obtenga acceso a las bases de datos externas rdbms-lambda-access Amazon EC2 AWSLambdaFullAccess
Permitir que Lambda cargue archivos en los clústeres de Amazon S3 y Amazon Redshift con DynamoDB lambda_exec_role AWS Lambda Crear una nueva política administrada, tal y como se define en el blog de big data de AWS
Permitir que las funciones de Lambda actúen como activadores de las tablas de DynamoDB lambda-dynamodb-* AWS Lambda AWSLambdaDynamoDBExecutionRole
Permitir que las funciones de Lambda obtengan acceso a Amazon RDS en una VPC lambda-vpc-execution-role Crear un rol con una política de confianza, tal y como se define en la AWS Lambda Developer Guide AWSLambdaVPCAccessExecutionRole
Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS DataPipelineDefaultRole Crear un rol con una política de confianza, tal y como se define en la Guía para desarrolladores de AWS Data Pipeline AWSDataPipelineRole
Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS DataPipelineDefaultResourceRole Crear un rol con una política de confianza, tal y como se define en la Guía para desarrolladores de AWS Data Pipeline AmazonEC2RoleforDataPipelineRole

Científico de datos

Nombre de la política administrada por AWS: DataScientist

Caso de uso: este usuario ejecuta consultas y trabajos de Hadoop. El usuario también obtiene acceso a la información y la analiza para las tareas de análisis de datos e inteligencia empresarial.

Descripción de la política: esta política concede permisos para crear, administrar y ejecutar consultas en un clúster de Amazon EMR y realizar análisis de datos con herramientas tales como Amazon QuickSight. La política incluye el acceso a servicios científicos de datos adicionales, tales como AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning y Amazon SageMaker. Vea la política para conocer la lista completa de servicios científicos de datos que admite.

Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Una instrucción permite pasar cualquier rol a Amazon SageMaker. Otra instrucción permite la acción iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de científico de datos

Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse Política administrada por AWS que ha de seleccionarse
Permitir que las instancias Amazon EC2 obtengan acceso a servicios y recursos adecuados para clústeres EMR-EC2_DefaultRole Amazon EMR para EC2 AmazonElasticMapReduceforEC2Role
Permitir que Amazon EMR obtenga acceso a los servicios y recursos de Amazon EC2 para clústeres EMR_DefaultRole Amazon EMR AmazonElasticMapReduceRole
Permitir que Kinesis Kinesis Data Analytics obtenga acceso a los orígenes de datos de streaming kinesis-* Crear un rol con una política de confianza, tal y como se define en el blog de big data de AWS. Consulte el blog de big data de AWS, que define cuatro posibles opciones en función de su caso de uso
Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS DataPipelineDefaultRole Crear un rol con una política de confianza, tal y como se define en la Guía para desarrolladores de AWS Data Pipeline AWSDataPipelineRole
Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS DataPipelineDefaultResourceRole Crear un rol con una política de confianza, tal y como se define en la Guía para desarrolladores de AWS Data Pipeline AmazonEC2RoleforDataPipelineRole

Usuario avanzado desarrollador

Nombre de la política administrada por AWS: PowerUserAccess

Caso de uso: este usuario realiza tareas de desarrollo de aplicaciones y puede crear y configurar recursos y servicios que respalden el desarrollo de aplicaciones compatibles con AWS.

Descripción de la política: la primera instrucción de esta política usa el elemento NotAction para permitir todas las acciones para todos los servicios de AWS y para todos los recursos excepto AWS Identity and Access Management y AWS Organizations. La segunda instrucción concede permisos de IAM para crear un rol vinculado al servicio. Esto es necesario en el caso de ciertos servicios que deben tener acceso a recursos de otro servicio, como un bucket de Amazon S3. También concede permisos de Organizaciones para ver información acerca de la organización del usuario, incluido el correo electrónico de la cuenta maestra y las limitaciones de la organización.

Administrador de red

Nombre de la política administrada por AWS: NetworkAdministrator

Caso de uso: este usuario tiene la tarea de configurar y mantener los recursos de red de AWS.

Descripción de la política: esta política concede permisos para crear y mantener los recursos de red de Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic Beanstalk, Amazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM y Amazon Virtual Private Cloud.

Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos iam:GetRole y iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de administrador de red

Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse Política administrada por AWS que ha de seleccionarse
Permite que Amazon VPC cree y administre registros en CloudWatch Logs en nombre del usuario para monitorizar el tráfico IP entrante y saliente de la VPC flow-logs-* Crear un rol con una política de confianza, tal y como se define en la Guía del usuario de Amazon VPC Este caso de uso no tiene una política administrada por AWS existente, pero la documentación indica los permisos necesarios. Consulte Guía del usuario de Amazon VPC.

Auditor de seguridad

Nombre de la política administrada por AWS: SecurityAudit

Caso de uso: este usuario monitoriza las cuentas para comprobar que cumplan con los requisitos de seguridad. Este usuario puede obtener acceso a los logs y eventos para investigar posibles infracciones de seguridad o actividades malintencionadas.

Descripción de la política: esta política concede permisos para ver los datos de configuración de muchos servicios de AWS y revisar sus registros.

Usuario de soporte

Nombre de la política administrada por AWS: SupportUser

Caso de uso: este usuario se pone en contacto con AWS Support, crea casos de soporte y consulta el estado de los casos existentes.

Descripción de política: esta política concede permisos para crear y actualizar casos de AWS.

Administrador de sistemas

Nombre de la política administrada por AWS: SystemAdministrator

Caso de uso: este usuario configura y mantiene los recursos para realizar operaciones de desarrollo.

Descripción de la política: esta política concede permisos para crear y mantener los recursos de una gran variedad de servicios de AWS, entre los que se incluyen AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor y Amazon VPC.

Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos iam:GetRole y iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de administrador de sistemas

Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse Política administrada por AWS que ha de seleccionarse
Permitir que las aplicaciones que se ejecutan en instancias EC2 de un clúster de Amazon ECS obtengan acceso a Amazon ECS ecr-sysadmin-* Rol de Amazon EC2 para EC2 Container Service AmazonEC2ContainerServiceforEC2Role
Permitir a un usuario que monitorice las bases de datos rds-monitoring-role Rol de Amazon RDS para una monitorización mejorada AmazonRDSEnhancedMonitoringRole
Permitir que las aplicaciones que se ejecutan en instancias EC2 obtengan acceso a los recursos de AWS ec2-sysadmin-* Amazon EC2 Ejemplo de política para un rol que concede acceso a un bucket de S3, tal y como se muestra en la Guía del usuario de Amazon EC2 para instancias de Linux; personalizar según sea necesario
Permitir que Lambda lea los flujos de DynamoDB y escriba en registros en CloudWatch lambda-sysadmin-* AWS Lambda AWSLambdaDynamoDBExecutionRole

Usuario de solo lectura

Nombre de la política administrada por AWS: ViewOnlyAccess

Caso de uso: este usuario puede ver en su cuenta una lista de metadatos básicos y recursos de AWS de todos los servicios. El usuario no puede leer contenido de recursos ni metadatos más allá de la información de cuotas y de listas correspondientes a los recursos.

Descripción de la política: esta política concede permisos de acceso List*, Describe*, Get*, View* y Lookup* a los recursos de la mayoría de servicios de AWS. Para ver qué acciones incluye esta política para cada servicio, consulte ViewOnlyAccess.

Creación de roles y asociación de políticas (consola)

Varias de las políticas indicadas anteriormente hacen que pueda configurar servicios de AWS con roles que les permitan llevar a cabo operaciones por usted. Las políticas de funciones especifican los nombres exactos del rol que debe utilizar o al menos incluyen un prefijo que especifique la primera parte del nombre que puede usarse. Para crear uno de estos roles, siga los pasos que se indican en el siguiente procedimiento.

Para crear un rol para un servicio de AWS (consola de IAM)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, seleccione Create role (Crear rol).

  3. Elija el tipo de rol AWS service (Servicio de AWS) y, a continuación, elija el servicio que desea que asuma este rol.

  4. Elija el caso de uso para su servicio. Si el servicio especificado tiene solo un caso de uso, se selecciona automáticamente. Los casos de uso son definidos por el servicio de modo tal que ya incluyen la política de confianza que el servicio mismo requiere. A continuación, elija Next: Permissions.

  5. Si es posible, seleccione la política que desea usar para la política de permisos o elija Create policy (Crear política) para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte el paso 4 del procedimiento Creación de políticas de IAM en la Guía del usuario de IAM. Después de crear la política, cierre esa pestaña y vuelva a la pestaña original. Seleccione la casilla situada junto a las políticas de permisos que desea conceder a los servicios.

    En función del caso de uso seleccionado, el servicio podría permitirle realizar cualquiera de las siguientes acciones:

    • Ninguna, porque el servicio define los permisos para el rol

    • Permitirle elegir permisos de un conjunto limitado

    • Permitirle elegir cualquier permiso, sin límites

    • Permite no seleccionar ninguna política en ese momento, crear las políticas más adelante y, a continuación, asociarlas al rol.

  6. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

    Expanda la sección Set permissions boundary (Establecer límite de permisos) y elija Use a permissions boundary to control the maximum role permissions (Utilizar un límite de permisos para controlar los permisos que puede tener el rol como máximo). IAM incluye una lista de las políticas administradas por AWS y las administradas por el cliente en su cuenta. Seleccione la política que desea usar para el límite de permisos o elija Create policy (Crear política) para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte el paso 4 del procedimiento Creación de políticas de IAM en la Guía del usuario de IAM. Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para seleccionar la política que va a usar para el límite de permisos.

  7. Elija Next: Tags (Siguiente: Etiquetas).

  8. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en la Guía del usuario de IAM.

  9. Elija Next: Review (Siguiente: Revisar).

  10. En Role Name (Nombre del rol), el servicio define el grado de personalización del nombre del rol. Si el servicio define el nombre del rol, esta opción no es editable. En otros casos, el servicio puede definir un prefijo para el rol y permitirle escribir un sufijo opcional. Algunos servicios le permiten especificar el nombre completo de su rol.

    De ser posible, escriba un nombre o sufijo de nombre para el rol que pueda ayudarle a identificar su finalidad. Los nombres de rol deben ser únicos en su cuenta de AWS. No se distingue por caso. Por ejemplo, no puede crear funciones denominado tanto PRODROLE y prodrole. Dado que varias entidades pueden hacer referencia al rol, no puede editar el nombre del rol después de crearlo.

  11. (Opcional) En Role description (Descripción del rol), escriba una descripción para el nuevo rol.

  12. Revise el rol y, a continuación, seleccione Create role.

Ejemplo 1: configuración de un usuario como administrador de base de datos (consola)

Este ejemplo muestra los pasos necesarios para establecer a Alice, usuaria de IAM, como administradora de base de datos. Use la información de la primera fila de la tabla de dicha sección y permita a la usuaria que active la monitorización de Amazon RDS. Debe asociar la política DatabaseAdministrator al usuario de IAM de Alice para que pueda administrar los servicios de base de datos de Amazon. Esta política también permite que Alice transmita un rol denominado rds-monitoring-role al servicio de Amazon RDS que permite al servicio monitorizar las bases de datos de RDS en su nombre.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Policies (Políticas) y, a continuación, escriba database en el cuadro de búsqueda.

  3. Seleccione la casilla de verificación de la política DatabaseAdministrator, elija Policy actions (Acciones de política) y, a continuación, seleccione Attach (Asociar).

  4. En la lista de usuarios, seleccione Alice y, a continuación, elija Attach policy (Asociar política). A partir de este momento Alice puede administrar las bases de datos de AWS. Sin embargo, debe configurar el rol de servicio para permitir a Alice monitorizar dichas bases de datos.

  5. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, seleccione Create role (Crear rol).

  6. Elija el tipo de rol AWS Service (Servicio de AWS) y, a continuación, elija Amazon RDS.

  7. Elija el caso de uso Amazon RDS Role for Enhanced Monitoring (Rol de Amazon RDS para la monitorización mejorada).

  8. Amazon RDS define los permisos de su rol. Elija Next: Review (Siguiente: revisión) para continuar.

  9. El nombre del rol debe ser uno de los especificados en la política de DatabaseAdministrator que ahora tiene Alice. Uno de ellos es rds-monitoring-role. Escríbalo en la opción Role name (Nombre de rol).

  10. (Opcional) En Role descripción, escriba una descripción para la nueva función.

  11. Después de revisar los detalles, seleccione Create role (Crear rol).

  12. Ahora, Alice puede activar RDS Enhanced Monitoring (Monitorización mejorada de RDS) en la sección Monitoring (Monitorización) de la consola de Amazon RDS. Por ejemplo, la usuaria podría hacerlo cuando cree una instancia de base de datos, cree una réplica de lectura o modifique una instancia de base de datos. Debe escribir el nombre del rol que ha creado (rds-monitoring-role) en el cuadro Monitoring Role (Rol de monitorización) cuando establezca la opción Enable Enhanced Monitoring (Activar monitorización mejorada) en .

Ejemplo 2: configuración de un usuario como administrador de red (consola)

Este ejemplo muestra los pasos necesarios para establecer a Juan, un usuario de IAM, como administrador de red. Utiliza la información de la tabla de dicha sección para permitir que Juan monitorice el tráfico IP entrante y saliente de una VPC. También permite a Juan capturar dicha información en los logs en CloudWatch Logs. Debe asociar la política NetworkAdministrator al usuario de IAM de Juan para que pueda configurar los recursos de red de AWS. Esta política también permite a Juan transmitir un rol cuyo nombre comience por flow-logs* a Amazon EC2 al crear un registro de flujo. En este caso, a diferencia del ejemplo 1, no existe un tipo de rol de servicio predefinido, de modo que debe realizar algunos pasos de forma distinta.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Policies (Políticas) y, a continuación, escriba network en el cuadro de búsqueda.

  3. Seleccione la casilla de verificación junto a la política NetworkAdministrator, elija Policy actions (Acciones de política) y, a continuación, seleccione Attach (Asociar).

  4. En la lista de usuarios, seleccione la casilla de verificación junto a Juan y, a continuación, elija Attach policy (Asociar política). A partir de este momento Juan puede administrar los recursos de red de AWS. Sin embargo, debe configurar el rol de servicio para permitir la monitorización del tráfico IP de la VPC.

  5. Dado que el rol de servicio que necesita crear no tiene una política administrada predefinida, primero debe crearla. En el panel de navegación, seleccione Policies (Políticas) y, a continuación, seleccione Create policy (Crear política).

  6. Seleccione la pestaña JSON y copie el texto del siguiente documento de política JSON. Pegue el texto en el cuadro de texto JSON.

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Effect": "Allow", "Resource": "*" } ] }
  7. Cuando haya terminado, seleccione Review policy. El validador de políticas notifica los errores de sintaxis.

    nota

    Puede alternar entre las pestañas Visual editor (Editor visual) y JSON en cualquier momento. Sin embargo, si realiza cambios o elige Review policy (Revisar política) en la pestaña Visual editor (Editor visual), IAM podría reestructurar la política para optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas.

  8. En la página Review (Revisar), escriba vpc-flow-logs-policy-for-service-role como nombre de la política. Revise el Summary (Resumen) de la política para ver los permisos concedidos por la política y, a continuación, elija Create policy (Crear política) para guardar el trabajo.

    La nueva política aparece en la lista de las políticas administradas y está lista para asociar.

  9. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, seleccione Create role (Crear rol).

  10. Elija el tipo de rol AWS Service (Servicio de AWS) y, a continuación, elija Amazon EC2.

  11. Elija el caso de uso Amazon EC2.

  12. En la página Attach permissions policies (Asociar políticas de permisos), seleccione la política que ha creado anteriormente, vpc-flow-logs-policy-for-service-role, a continuación, seleccione Next: Review (Siguiente: revisión).

  13. El nombre del rol debe estar permitido por la política de NetworkAdministrator que Juan ahora tiene. Los nombres que comiencen por flow-logs- están permitidos. En este ejemplo, escriba flow-logs-for-juan como Role name (Nombre de rol).

  14. (Opcional) En Role descripción, escriba una descripción para la nueva función.

  15. Después de revisar los detalles, seleccione Create role (Crear rol).

  16. Ahora puede configurar la política de confianza necesaria para este caso. En la página Roles, seleccione el rol flow-logs-for-juan (el nombre, no la casilla de verificación). En la página de detalles del nuevo rol, elija la pestaña Trust relationships (Relaciones de confianza) y, a continuación, seleccione Edit trust relationship (Editar relación de confianza).

  17. Cambie la línea de "Service" para que se lea como sigue, sustituyendo la entrada por ec2.amazonaws.com:

    "Service": "vpc-flow-logs.amazonaws.com"
  18. Ahora puede crear los registros del flujo de una VPC o subred en la consola de Amazon EC2. Al crear el registro de flujo, especifique el rol flow-logs-for-juan. Este rol tiene los permisos para crear el log y escribir datos en él.