Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Configurar las funciones de IAM para las aplicaciones web Transfer Family Necesitará dos funciones: una para usarla como función portadora de identidad para su aplicación web y otra para configurar una concesión de acceso. Un rol de portador de identidad es un rol que incluye la identidad de un usuario autenticado en sus sesiones. Se utiliza para solicitar el acceso a los datos a S3 Access Grants en nombre del usuario. **nota** Puede omitir el procedimiento de creación de un rol de portador de identidad. Para obtener información sobre cómo hacer que el servicio Transfer Family cree el rol de portador de identidad, consulte[Crea una aplicación web de Transfer Family](webapp-configure.md#web-app-create). Puede omitir el procedimiento de creación de un rol de concesión de acceso. En el procedimiento para crear una concesión de acceso, en el paso en el que se registra una ubicación de S3, seleccione **Crear un nuevo rol**. **Cree un rol de portador de identidad** 1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 1. Elija **Funciones** y, a continuación, **Crear función**. 1. Elija **Política de confianza personalizada** y, a continuación, pegue el siguiente código. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"transfer.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Selecciona **Siguiente** y, a continuación, omite **Añadir permisos** y vuelve a seleccionar **Siguiente**. 1. Introduce un nombre, por ejemplo`web-app-identity-bearer`. 1. Elija **Crear rol** para crear el rol de portador de identidad. 1. Elija el rol que acaba de crear de la lista y, a continuación, en el panel de **políticas de permisos**, elija **Añadir permisos** > **Crear política integrada.** 1. En el **editor de políticas**, selecciona **JSON** y pega el siguiente bloque de código. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:ListCallerAccessGrants", "s3:ListAccessGrantsInstances" ], "Resource": "*" } ] } ``` 1. Para el nombre de la política, introduzca y`AllowS3AccessGrants`, a continuación, seleccione **Crear política**. A continuación, debe crear la función que S3 Access Grants asume para vender las credenciales temporales al concesionario. **nota** Si permite que el servicio cree el rol de portador de identidad para usted, ese rol establece una protección de adjunto confusa. Por lo tanto, su código es diferente al que se muestra aquí. **Cree un rol de concesión de acceso** 1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Elija **Funciones** y, a continuación, **Crear función**. Este rol debe tener permiso para acceder a sus datos de S3 en Región de AWS. 1. Elija **Política de confianza personalizada** y, a continuación, pegue el siguiente código. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-grants.s3.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Selecciona **Siguiente** y agrega una política mínima como se describe en [Registrar una ubicación](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html). Si bien no es recomendable, puede añadir la política FullAccess gestionada de **AmazonS3**, que puede resultar demasiado permisiva para sus necesidades. 1. Seleccione **Siguiente** e introduzca un nombre (por ejemplo). `access-grants-location` 1. Elija **Crear rol** para crear el rol. **nota** Si permites que el servicio cree la función de concesión de acceso por ti, esa función establece una confusa protección de diputado. Por lo tanto, su código es diferente al que se muestra aquí.