Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Referencia general
Version 1.0
Amazon Web Services Referencia general
Table of Contents
Referencia general de AWS ................................................................................................................. 1
Regiones y puntos de conexión de AWS ............................................................................................... 2
Amazon API Gateway ................................................................................................................. 4
Application Auto Scaling .............................................................................................................. 5
Amazon AppStream .................................................................................................................... 6
Amazon AppStream 2.0 ............................................................................................................... 6
Athena ...................................................................................................................................... 7
Auto Scaling .............................................................................................................................. 7
AWS Batch ................................................................................................................................ 8
AWS Certificate Manager ............................................................................................................. 8
Amazon Cloud Directory .............................................................................................................. 9
AWS CloudFormation ................................................................................................................ 10
Amazon CloudFront .................................................................................................................. 11
AWS CloudHSM ....................................................................................................................... 11
Amazon CloudSearch ................................................................................................................ 12
AWS CloudTrail ........................................................................................................................ 12
Amazon CloudWatch ................................................................................................................. 13
Amazon CloudWatch Events ...................................................................................................... 14
Amazon CloudWatch Logs ......................................................................................................... 15
AWS CodeBuild ........................................................................................................................ 16
AWS CodeCommit .................................................................................................................... 16
AWS CodeDeploy ..................................................................................................................... 17
AWS CodePipeline .................................................................................................................... 18
Amazon Cognito Identity ............................................................................................................ 18
Amazon Cognito Your User Pools ....................................................................................... 18
Amazon Cognito Federated Identities ................................................................................... 19
Amazon Cognito Sync ............................................................................................................... 20
AWS Config ............................................................................................................................. 20
Reglas de AWS Config ...................................................................................................... 21
AWS Data Pipeline ................................................................................................................... 22
AWS Database Migration Service ................................................................................................ 22
AWS Device Farm .................................................................................................................... 23
Amazon DevPay ....................................................................................................................... 23
AWS Direct Connect ................................................................................................................. 24
AWS Directory Service .............................................................................................................. 25
Amazon DynamoDB .................................................................................................................. 25
Amazon DynamoDB Streams ..................................................................................................... 26
Amazon EC2 Container Registry ................................................................................................. 27
Amazon EC2 Container Service .................................................................................................. 28
Amazon EC2 Systems Manager .................................................................................................. 29
AWS Elastic Beanstalk .............................................................................................................. 30
AWS Elastic Beanstalk Health Service ......................................................................................... 31
Amazon Elastic Compute Cloud (Amazon EC2) ............................................................................. 31
Amazon Elastic File System ....................................................................................................... 33
Elastic Load Balancing .............................................................................................................. 33
Amazon Elastic Transcoder ........................................................................................................ 34
Amazon ElastiCache ................................................................................................................. 35
Amazon Elasticsearch Service .................................................................................................... 36
Amazon EMR ........................................................................................................................... 36
Amazon GameLift ..................................................................................................................... 38
Amazon Glacier ........................................................................................................................ 38
AWS Health ............................................................................................................................. 39
AWS Identity and Access Management (IAM) ............................................................................... 39
AWS Import/Export .................................................................................................................... 39
Version 1.0
iii
Amazon Web Services Referencia general
Version 1.0
iv
Amazon Web Services Referencia general
Utilice credenciales de seguridad temporales (roles de IAM) e lugar de claves de acceso a largo
plazo ............................................................................................................................... 75
Administración correcta de las claves de acceso de los usuarios de IAM ................................... 76
Más recursos ................................................................................................................... 77
Administración de claves de acceso para su cuenta de AWS ........................................................... 77
Creación, deshabilitación y eliminación de claves de acceso para su cuenta de AWS ................... 78
Directivas de auditoría de seguridad de AWS ............................................................................... 78
¿Cuándo se debe llevar a cabo una auditoría de seguridad? ................................................... 79
Directrices generales de auditoría ....................................................................................... 79
Revisión de las credenciales de su cuenta de AWS ............................................................... 80
Revisión de los usuarios de IAM ......................................................................................... 80
Revisión de los grupos de IAM ........................................................................................... 80
Revisión de los roles de IAM .............................................................................................. 80
Revisión de los proveedores de IAM para SAML y OpenID Connect (OIDC) ............................... 81
Revisión de las aplicaciones móviles ................................................................................... 81
Revisión de la configuración de seguridad de Amazon EC2 ..................................................... 81
Revisión de las políticas de AWS en otros servicios ............................................................... 82
Monitorización de la actividad de su cuenta de AWS .............................................................. 82
Sugerencias para revisar las políticas de IAM ....................................................................... 82
Más información ............................................................................................................... 83
Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS ................................ 84
Formato de ARN ...................................................................................................................... 84
Ejemplos de ARN ..................................................................................................................... 85
Amazon API Gateway ....................................................................................................... 86
AWS Artifact .................................................................................................................... 87
Auto Scaling ..................................................................................................................... 87
AWS Certificate Manager ................................................................................................... 87
AWS CloudFormation ........................................................................................................ 87
Amazon CloudSearch ........................................................................................................ 88
AWS CloudTrail ................................................................................................................ 88
Amazon CloudWatch Events .............................................................................................. 88
Amazon CloudWatch Logs ................................................................................................. 88
AWS CodeBuild ................................................................................................................ 89
AWS CodeCommit ............................................................................................................ 89
AWS CodeDeploy ............................................................................................................. 89
Amazon Cognito Your User Pools ....................................................................................... 89
Amazon Cognito Federated Identities ................................................................................... 90
Amazon Cognito Sync ....................................................................................................... 90
AWS Config ..................................................................................................................... 90
AWS CodePipeline ............................................................................................................ 90
AWS Direct Connect ......................................................................................................... 90
Amazon DynamoDB .......................................................................................................... 91
Amazon EC2 Container Registry (Amazon ECR) ................................................................... 91
Amazon EC2 Container Service (Amazon ECS) .................................................................... 91
Amazon Elastic Compute Cloud (Amazon EC2) ..................................................................... 91
AWS Elastic Beanstalk ...................................................................................................... 92
Amazon Elastic File System ............................................................................................... 92
Elastic Load Balancing (Balanceador de carga de aplicaciones) ............................................... 93
Elastic Load Balancing (Classic Load Balancer) ..................................................................... 93
Amazon Elastic Transcoder ................................................................................................ 93
Amazon ElastiCache ......................................................................................................... 93
Amazon Elasticsearch Service ............................................................................................ 94
Amazon Glacier ................................................................................................................ 94
AWS Health/Personal Health Dashboard .............................................................................. 94
AWS Identity and Access Management (IAM) ....................................................................... 94
AWS IoT ......................................................................................................................... 95
AWS Key Management Service (AWS KMS) ......................................................................... 95
Version 1.0
v
Amazon Web Services Referencia general
Version 1.0
vi
Amazon Web Services Referencia general
Version 1.0
vii
Amazon Web Services Referencia general
Version 1.0
viii
Amazon Web Services Referencia general
Version 1.0
1
Amazon Web Services Referencia general
Algunos servicios, como IAM, no admiten regiones; por tanto, sus puntos de conexión no incluyen una
región. Algunos servicios, como Amazon EC2, permiten especificar un punto de conexión que no incluya
una región específica, por ejemplo, https://ec2.amazonaws.com. En ese caso, AWS enruta el punto de
conexión a us-east-1.
Si un servicio admite regiones, los recursos de cada región son independientes. Por ejemplo, si crea una
instancia Amazon EC2 o una cola de Amazon SQS en una región, la instancia o cola es independiente de
las instancias o colas de otra región.
Encontrará información sobre las regiones y puntos de conexión en las fuentes siguientes:
• Para ver los servicios compatibles por región en formato de pestañas, consulte la Tabla de regiones.
Esta página no contiene información de puntos de conexión.
• Para obtener más información acerca de los puntos de conexión y los servicios de AWS disponibles en
la región China (Beijing), consulte China (Beijing) Region Endpoints.
• Para obtener más información acerca de los puntos de conexión y los servicios de AWS disponibles en
la región AWS GovCloud (US), consulte AWS GovCloud (US) Endpoints.
• Para obtener información sobre qué regiones y puntos de conexión se admiten para cada servicio,
consulte las siguientes tablas.
Temas
• Amazon API Gateway (p. 4)
• Application Auto Scaling (p. 5)
• Amazon AppStream (p. 6)
• Amazon AppStream 2.0 (p. 6)
• Athena (p. 7)
• Auto Scaling (p. 7)
• AWS Batch (p. 8)
• AWS Certificate Manager (p. 8)
• Amazon Cloud Directory (p. 9)
Version 1.0
2
Amazon Web Services Referencia general
Version 1.0
3
Amazon Web Services Referencia general
Amazon API Gateway
Version 1.0
4
Amazon Web Services Referencia general
Application Auto Scaling
Version 1.0
5
Amazon Web Services Referencia general
Amazon AppStream
Amazon AppStream
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
6
Amazon Web Services Referencia general
Athena
Athena
Nombre Región Punto de conexión Cadena de conexión Protocolo
de la
región
Note
Utilice la cadena de conexión para conectarse al servicio mediante el controlador JDBC (Java
Database Connectivity).
Auto Scaling
Region Region Endpoint Protocol
Name
Version 1.0
7
Amazon Web Services Referencia general
AWS Batch
For information about using Auto Scaling in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Auto Scaling in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
AWS Batch
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
8
Amazon Web Services Referencia general
Amazon Cloud Directory
Version 1.0
9
Amazon Web Services Referencia general
AWS CloudFormation
AWS CloudFormation
Region Region Endpoint Protocol
Name
Version 1.0
10
Amazon Web Services Referencia general
Amazon CloudFront
For information about using AWS CloudFormation in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using AWS CloudFormation in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Amazon CloudFront
Las distribuciones de Amazon CloudFront tienen un único punto de conexión, cloudfront.amazonaws.com,
y solo admiten solicitudes HTTPS. Al enviar solicitudes a CloudFront mediante programación, especifique
us-east-1 para Región EE.UU. Este (Norte de Virginia).
AWS CloudHSM
Nombre de la Región Punto de conexión Protocolo
región
For information about using AWS CloudHSM in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
Version 1.0
11
Amazon Web Services Referencia general
Amazon CloudSearch
Amazon CloudSearch
Nombre de Región Punto de conexión Protocolo
la región
AWS CloudTrail
Region Region Endpoint Protocol
Name
Version 1.0
12
Amazon Web Services Referencia general
Amazon CloudWatch
For information about using AWS CloudTrail in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using AWS CloudTrail in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Amazon CloudWatch
Nombre de la Región Punto de conexión Protocolo
región
Version 1.0
13
Amazon Web Services Referencia general
Amazon CloudWatch Events
For information about using Amazon CloudWatch in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using Amazon CloudWatch in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
14
Amazon Web Services Referencia general
Amazon CloudWatch Logs
Version 1.0
15
Amazon Web Services Referencia general
AWS CodeBuild
For information about using Amazon CloudWatch Logs in the AWS GovCloud (US), Region, see AWS
GovCloud (US) Endpoints.
For information about using Amazon CloudWatch Logs in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
AWS CodeBuild
Nombre de Región Punto de conexión Protocolo
la región
AWS CodeCommit
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
16
Amazon Web Services Referencia general
AWS CodeDeploy
Para obtener información acerca de los puntos de conexión de Git, consulte Regions and Git Connection
Endpoints for AWS CodeCommit.
AWS CodeDeploy
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
17
Amazon Web Services Referencia general
AWS CodePipeline
For information about using AWS CodeDeploy in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
AWS CodePipeline
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
18
Amazon Web Services Referencia general
Amazon Cognito Federated Identities
Version 1.0
19
Amazon Web Services Referencia general
Amazon Cognito Sync
AWS Config
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
20
Amazon Web Services Referencia general
Reglas de AWS Config
For information about using AWS Config in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using AWS Config in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
21
Amazon Web Services Referencia general
AWS Data Pipeline
Version 1.0
22
Amazon Web Services Referencia general
AWS Device Farm
Amazon DevPay
Nombre de la Región Punto de conexión Protocolo
región
Version 1.0
23
Amazon Web Services Referencia general
AWS Direct Connect
For information about using AWS Direct Connect in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using AWS Direct Connect in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
24
Amazon Web Services Referencia general
AWS Directory Service
Solo AWS Directory Service for Microsoft Active Directory (Enterprise Edition) está disponible en UE
(Fráncfort).
Amazon DynamoDB
Region Region Endpoint Protocol
Name
Version 1.0
25
Amazon Web Services Referencia general
Amazon DynamoDB Streams
For information about using Amazon DynamoDB in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using Amazon DynamoDB in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
26
Amazon Web Services Referencia general
Amazon EC2 Container Registry
For information about using Amazon DynamoDB Streams in the AWS GovCloud (US), Region, see AWS
GovCloud (US) Endpoints.
For information about using Amazon DynamoDB Streams in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
Version 1.0
27
Amazon Web Services Referencia general
Amazon EC2 Container Service
Version 1.0
28
Amazon Web Services Referencia general
Amazon EC2 Systems Manager
For information about using Amazon EC2 Systems Manager in the China (Beijing) Region, see China
(Beijing) Region Endpoints.
Version 1.0
29
Amazon Web Services Referencia general
AWS Elastic Beanstalk
For information about using AWS Elastic Beanstalk in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
Version 1.0
30
Amazon Web Services Referencia general
AWS Elastic Beanstalk Health Service
Version 1.0
31
Amazon Web Services Referencia general
Amazon Elastic Compute Cloud (Amazon EC2)
For information about using Amazon EC2 in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Amazon EC2 in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
32
Amazon Web Services Referencia general
Amazon Elastic File System
Version 1.0
33
Amazon Web Services Referencia general
Amazon Elastic Transcoder
For information about using Elastic Load Balancing in the AWS GovCloud (US), Region, see AWS
GovCloud (US) Endpoints.
For information about using Elastic Load Balancing in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
Version 1.0
34
Amazon Web Services Referencia general
Amazon ElastiCache
Amazon ElastiCache
Region Region Endpoint Protocol
Name
For information about using Amazon ElastiCache in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
Version 1.0
35
Amazon Web Services Referencia general
Amazon Elasticsearch Service
Amazon EMR
Region Region Endpoint Protocol
Name
Version 1.0
36
Amazon Web Services Referencia general
Amazon EMR
For information about using Amazon EMR in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Amazon EMR in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
37
Amazon Web Services Referencia general
Amazon GameLift
Amazon GameLift
Nombre de Región Punto de conexión Protocolo
la región
Amazon Glacier
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
38
Amazon Web Services Referencia general
AWS Health
For information about using Amazon Glacier in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Amazon Glacier in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
AWS Health
AWS Health tiene un único punto de conexión: health.us-east-1.amazonaws.com (HTTPS).
For information about using AWS Identity and Access Management in the AWS GovCloud (US), Region,
see AWS GovCloud (US) Endpoints.
For information about using AWS Identity and Access Management in the China (Beijing) Region, see
China (Beijing) Region Endpoints.
AWS Import/Export
Ahora, AWS Snowball es un servicio independiente. Para obtener información acerca de la región de dicho
servicio, consulte AWS Snowball (p. 62).
Version 1.0
39
Amazon Web Services Referencia general
Amazon Inspector
importexport.amazonaws.com HTTPS
Amazon Inspector
Nombre de Región Punto de conexión Protocolo
la región
AWS IoT
En la siguiente tabla se proporciona una lista de los puntos de conexión específicos de cada región que
AWS IoT admite para trabajar con reglas, certificados y políticas.
Version 1.0
40
Amazon Web Services Referencia general
AWS IoT
En la siguiente tabla se proporciona una lista de los puntos de conexión específicos de cada región que
AWS IoT admite para trabajar con Thing Shadows. Para buscar el prefijo específico de su cuenta, utilice el
comando describe-endpoint.
AWS IoT admite varios protocolos para acceder al agente de mensajes y al componente Thing Shadows.
En la siguiente tabla se muestran los puertos que se deben utilizar para cada protocolo.
Version 1.0
41
Amazon Web Services Referencia general
AWS Key Management Service
For information about using AWS Key Management Service in the AWS GovCloud (US), Region, see AWS
GovCloud (US) Endpoints.
Version 1.0
42
Amazon Web Services Referencia general
Amazon Kinesis Analytics
Version 1.0
43
Amazon Web Services Referencia general
AWS Lambda
For information about using Amazon Kinesis Streams in the AWS GovCloud (US), Region, see AWS
GovCloud (US) Endpoints.
For information about using Amazon Kinesis Streams in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
AWS Lambda
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
44
Amazon Web Services Referencia general
Amazon Lex
Amazon Lex
Nombre de Región Punto de conexión Protocolo
la región
Amazon Lightsail
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
45
Amazon Web Services Referencia general
Amazon Mobile Analytics
AWS OpsWorks
AWS OpsWorks utiliza los siguientes puntos de conexión regionales.
Version 1.0
46
Amazon Web Services Referencia general
AWS OpsWorks Stacks
Version 1.0
47
Amazon Web Services Referencia general
AWS Organizations
AWS Organizations
Nombre de Región Punto de conexión Protocolo
la región
Amazon Pinpoint
Nombre de Región Punto de conexión Protocolo
la región
Amazon Polly
Nombre de Región Punto de conexión Protocolo
la región
Amazon Redshift
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
48
Amazon Web Services Referencia general
Amazon Rekognition
For information about using Amazon Redshift in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using Amazon Redshift in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Amazon Rekognition
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
49
Amazon Web Services Referencia general
Amazon Relational Database Service (Amazon RDS)
For information about using Amazon Relational Database Service in the AWS GovCloud (US), Region, see
AWS GovCloud (US) Endpoints.
For information about using Amazon Relational Database Service in the China (Beijing) Region, see China
(Beijing) Region Endpoints.
Version 1.0
50
Amazon Web Services Referencia general
Amazon Route 53
Amazon Route 53
Amazon Route 53 utiliza dos puntos de conexión. El punto de conexión que se utiliza depende de la
operación que se desea realizar.
Para obtener más información, consulte Activating and Deactivating AWS STS in an AWS Region en la
Guía del usuario de IAM.
Version 1.0
51
Amazon Web Services Referencia general
AWS Service Catalog
For information about using AWS Security Token Service in the AWS GovCloud (US), Region, see AWS
GovCloud (US) Endpoints.
For information about using AWS Security Token Service in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
Version 1.0
52
Amazon Web Services Referencia general
AWS Shield Advanced
Version 1.0
53
Amazon Web Services Referencia general
Amazon Simple Notification Service (Amazon SNS)
For information about using Amazon Simple Notification Service in the AWS GovCloud (US), Region, see
AWS GovCloud (US) Endpoints.
For information about using Amazon Simple Notification Service in the China (Beijing) Region, see China
(Beijing) Region Endpoints.
Version 1.0
54
Amazon Web Services Referencia general
Amazon Simple Queue Service (Amazon SQS)
For information about using Amazon Simple Queue Service in the AWS GovCloud (US), Region, see AWS
GovCloud (US) Endpoints.
For information about using Amazon Simple Queue Service in the China (Beijing) Region, see China
(Beijing) Region Endpoints.
Version 1.0
55
Amazon Web Services Referencia general
Puntos de conexión heredados de Amazon SQS
Amazon S3 ha cambiado el nombre de la región EE. UU. Estándar por Región EE.UU. Este (Norte
de Virginia), con el fin de ser coherente con las convenciones de nomenclatura regionales de
AWS. No hay ningún cambio en el punto de conexión ni es preciso realizar ninguna modificación
en la aplicación.
Version 1.0
56
Amazon Web Services Referencia general
Amazon Simple Storage Service (Amazon S3)
Soporte
Version 1.0
57
Amazon Web Services Referencia general
Amazon Simple Storage Service (Amazon S3)
Soporte
Version 1.0
58
Amazon Web Services Referencia general
Puntos de conexión de sitios web
de Amazon Simple Storage Service
Soporte
Note
**Los puntos de conexión de doble pila de Amazon S3 admiten solicitudes a buckets de S3 a
través de IPv6 y de IPv4. Para obtener más información, consulte Using Dual-Stack Endpoints.
Important
Si utiliza una región que no sea el punto de conexión US East (N. Virginia) para crear un bucket,
debe establecer el parámetro del bucket LocationConstraint en esa misma región. Tanto
AWS SDK for Java como AWS SDK para .NET utilizan una enumeración para establecer
las restricciones de ubicación (Region para Java, S3Region para .NET). Para obtener más
información, consulte la sección PUT Bucket en la Amazon Simple Storage Service API
Reference.
Note
Los puntos de conexión de sitio web no admiten https.
Version 1.0
59
Amazon Web Services Referencia general
Amazon Simple Workflow Service (Amazon SWF)
For information about using Amazon Simple Storage Service in the AWS GovCloud (US), Region, see AWS
GovCloud (US) Endpoints.
For information about using Amazon Simple Storage Service in the China (Beijing) Region, see China
(Beijing) Region Endpoints.
Version 1.0
60
Amazon Web Services Referencia general
Amazon SimpleDB
For information about using Amazon Simple Workflow Service in the AWS GovCloud (US), Region, see
AWS GovCloud (US) Endpoints.
For information about using Amazon Simple Workflow Service in the China (Beijing) Region, see China
(Beijing) Region Endpoints.
Amazon SimpleDB
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
61
Amazon Web Services Referencia general
AWS Snowball
AWS Snowball
AWS Snowball, que se utiliza con Snowball appliance estándar, está disponible en las siguientes regiones
e incluye estos puntos de conexión.
AWS Snowball, que se utiliza con AWS Snowball Edge appliance, está disponible en las siguientes
regiones e incluye estos puntos de conexión.
Version 1.0
62
Amazon Web Services Referencia general
AWS Step Functions
For information about using AWS Snowball in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
Version 1.0
63
Amazon Web Services Referencia general
AWS Storage Gateway
For information about using AWS Storage Gateway in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
AWS Support
AWS Support tiene un único punto de conexión: support.us-east-1.amazonaws.com (HTTPS).
Version 1.0
64
Amazon Web Services Referencia general
Amazon VPC
Amazon VPC
Region Region Endpoint Protocol
Name
Si especifica el punto de conexión general (ec2.amazonaws.com), Amazon VPC dirige la solicitud al punto
de conexión us-east-1.
For information about using Amazon VPC in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Amazon VPC in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
65
Amazon Web Services Referencia general
AWS WAF
AWS WAF
AWS WAF para distribuciones de CloudFront tiene un único punto de conexión: waf.amazonaws.com.
Solamente admite solicitudes HTTPS.
AWS WAF para Balanceador de carga de aplicaciones tiene los siguientes puntos de conexión:
Amazon WorkDocs
Nombre de Región Punto de conexión Protocolo
la región
Amazon WorkMail
Nombre de la región Región Servicio Punto de conexión
Version 1.0
66
Amazon Web Services Referencia general
Amazon WorkSpaces
Amazon WorkSpaces
Nombre de Región Punto de conexión Protocolo
la región
Version 1.0
67
Amazon Web Services Referencia general
AWS X-Ray
AWS X-Ray
Nombre de la Región Punto de conexión Protocolo
región
Version 1.0
68
Amazon Web Services Referencia general
Credenciales de cuenta raíz y
credenciales de usuario de IAM
Al interaccionar con AWS, debe especificar las credenciales de seguridad de AWS con el fin de demostrar
quién es usted y si tiene permiso para acceder a los recursos que solicita. AWS utiliza las credenciales de
seguridad para autenticar y autorizar sus solicitudes.
Por ejemplo, si desea descargar un archivo determinado de un bucket de Amazon Simple Storage
Service (Amazon S3), sus credenciales deben permitir ese tipo de acceso. Si sus credenciales no están
autorizadas para descargar el archivo, AWS le denegará la solicitud.
Note
En algunos casos, puede realizar llamadas a AWS sin credenciales de seguridad; por ejemplo,
descargar un archivo compartido públicamente en un bucket de Amazon S3.
Temas
• Credenciales de cuenta raíz y credenciales de usuario de IAM (p. 69)
• Descripción y obtención de las credenciales de seguridad (p. 71)
• Identificadores de cuenta de AWS (p. 73)
• Prácticas recomendadas para administrar las claves de acceso de AWS (p. 74)
• Administración de claves de acceso para su cuenta de AWS (p. 77)
• Directivas de auditoría de seguridad de AWS (p. 78)
Version 1.0
69
Amazon Web Services Referencia general
Tareas de AWS que requieren un usuario raíz de la cuenta
Note
Es posible que necesite el acceso de la cuenta raíz para tareas específicas, tales como cambiar
un plan de soporte de AWS o cerrar la cuenta. En estos casos, inicie sesión en la Consola de
administración de AWS con su correo electrónico y contraseña. Consulte Correo electrónico y
contraseña (usuario raíz de la cuenta) (p. 71).
Para obtener una lista de tareas que requieren el acceso de usuario raíz de la cuenta, consulte Tareas de
AWS que requieren un usuario raíz de la cuenta (p. 70).
Con IAM, puede controlar de forma segura el acceso a los servicios y recursos de AWS para los usuarios
de su cuenta de AWS. Por ejemplo, si requiere permisos de administrador, puede crear un usuario IAM,
concederle acceso pleno y, a continuación, utilizar esas credenciales para interaccionar con AWS. Si
necesita modificar o revocar sus permisos, puede eliminar o modificar las políticas que están asociadas
con ese usuario de IAM.
Si tiene varios usuarios que requieren acceso a su cuenta de AWS, puede crear credenciales exclusivas
para cada uno de ellos y definir quién tendrá acceso a los distintos recursos. No tiene que compartir las
credenciales. Por ejemplo, puede crear usuarios de IAM con acceso de solo lectura a los recursos de su
cuenta de AWS y distribuir esas credenciales a los usuarios.
Note
Todas las actividades y los costos asociados con el usuario de IAM se facturarán al propietario de
la cuenta de AWS.
• Modificar los detalles del usuario raíz (p. 71). Esto incluye el cambio de la contraseña del usuario raíz.
• Cambiar el plan de soporte de AWS.
• Cambiar o eliminar opciones de pago.
• Consultar la información de facturación de la cuenta. Para obtener información sobre cómo habilitar
el acceso a la facturación para los usuarios de IAM, consulte Activating Access to the Billing and Cost
Management Console.
• Cerrar una cuenta de AWS.
• Inscribirse en GovCloud.
• Enviar una solicitud de DNS inversa para Amazon EC2. El enlace “this form” de esa página para enviar
una solicitud solamente funciona si inicia sesión con credenciales de usuario raíz.
• Crear un par de claves de CloudFront.
• Crear un certificado de firma X.509 creado por AWS. (También puede realizar certificados creados
automáticamente para los usuarios de IAM.)
• Transferir un dominio de Amazon Route 53 a otra cuenta de AWS.
• Cambiar la configuración de Amazon EC2 para utilizar ID de recursos más largos. Si este ajuste se
cambia como usuario raíz, afecta a todos los usuarios y roles de la cuenta. Si se cambia como usuario
de IAM o rol de IAM, solo afecta a ese usuario o rol.
• Enviar una solicitud para realizar pruebas de intrusión en la infraestructura de AWS.
• Abrir un caso de AWS Support en el que se especifique Regarding: Account and Billing Support.
Version 1.0
70
Amazon Web Services Referencia general
Descripción y obtención de las credenciales de seguridad
Si olvida o pierde sus credenciales, no puede recuperarlas. Por motivos de seguridad, AWS no permite
recuperar las contraseñas ni las claves de acceso secretas y tampoco almacena las claves privadas que
forman parte de un par de claves. Sin embargo, puede crear nuevas credenciales y, después, deshabilitar
o eliminar las anteriores.
Note
Las credenciales de seguridad son específicas de la cuenta. Si tiene acceso a varias cuentas de
AWS, utilice las credenciales que están asociadas con la cuenta a la que desea acceder.
Obtener credenciales de cuenta raíz de AWS es distinto obtener credenciales de usuario de IAM. Para las
credenciales de la cuenta raíz de AWS, las credenciales, como claves de acceso o los pares de claves, se
obtienen en la página Security Credentials de la Consola de administración de AWS. Las credenciales de
usuario de IAM se obtienen en la consola de IAM.
En la siguiente lista se describen los tipos de credenciales de seguridad de AWS, cuándo se pueden
utilizar y cómo obtener cada tipo de credenciales de AWS para la cuenta raíz o para un usuario de IAM.
Temas
• Correo electrónico y contraseña (usuario raíz de la cuenta) (p. 71)
• Nombre de usuario y contraseña de IAM (p. 72)
• Multi-Factor Authentication (MFA) (p. 72)
• Claves de acceso (ID de clave de acceso y clave de acceso secreta) (p. 72)
• Pares de claves (p. 73)
Version 1.0
71
Amazon Web Services Referencia general
Nombre de usuario y contraseña de IAM
Para obtener más información acerca de los usuarios de IAM, consulte Identities (Users, Groups, and
Roles) en la Guía del usuario de IAM.
Los nombres de usuario se especifican al crearlos. Una vez creados los usuarios, puede crear contraseñas
para cada uno de ellos. Para obtener más información, consulte Managing Passwords para IAM Users en
la Guía del usuario de IAM.
Note
Los usuarios de IAM pueden administrar su propia contraseña, pero solo si se les ha dado
permiso. Para obtener más información, consulte Permitting IAM Users to Change Their Own
Password en la Guía del usuario de IAM.
Para aumentar la seguridad, le recomendamos que exija la MFA en las credenciales de la cuenta
raíz y a los usuarios de IAM con un alto nivel de privilegios. Para obtener más información,
consulte Using Multi-Factor Authentication (MFA) in AWS en la Guía del usuario de IAM.
Las claves de acceso se utilizan también con las interfaces de línea de comandos (CLI). Cuando se utiliza
una CLI, los comandos que se emiten se firman mediante las claves de acceso, que puede pasar con el
propio comando o bien almacenar como ajustes de configuración en el equipo.
También puede crear y utilizar claves de acceso temporales, que se denominan credenciales de seguridad
temporales. Además del ID de clave de acceso y la clave de acceso secreta, las credenciales de seguridad
Version 1.0
72
Amazon Web Services Referencia general
Pares de claves
temporales incluyen un token de seguridad que debe enviar a AWS cuando se utiliza este tipo de
credenciales. La ventaja de las credenciales de seguridad temporales es que duran poco. Después de
caducar, ya no son válidas. Puede utilizar claves de acceso temporales en entornos menos seguros o
distribuirlas para conceder a los usuarios acceso temporal a los recursos de su cuenta de AWS. Por
ejemplo, puede conceder a entidades de otras cuentas de AWS acceso a los recursos de su cuenta
de AWS (acceso entre cuentas) o conceder a usuarios que no tengan credenciales de seguridad de
AWS acceso a los recursos de su cuenta de AWS (federación). Para obtener más información, consulte
Temporary Security Credentials en la guía Guía del usuario de IAM.
Puede tener un máximo de dos claves de acceso (activas o inactivas) a la vez. Para su cuenta de AWS
(raíz), consulte Administración de claves de acceso para su cuenta de AWS (p. 77). Para los usuarios
de IAM, puede crear claves de acceso de IAM con la consola de IAM. Para obtener más información,
consulte Creating, Modifying, and Viewing Access Keys (Consola de administración de AWS) en la Guía
del usuario de IAM.
Important
Si usted o los usuarios de IAM olvidan o pierden la clave de acceso secreta, puede crear una
nueva clave de acceso.
Pares de claves
Un par de claves consta de una clave pública y una clave privada. Puede utilizar la clave privada para
crear una firma digital y, a continuación, AWS utilizará la correspondiente clave pública para validar la
firma. Los pares de claves se utilizan solo para Amazon EC2 y Amazon CloudFront.
En el caso de Amazon EC2, los pares de claves se utilizan para acceder a instancias Amazon EC2;
por ejemplo, cuando se utiliza SSH para iniciar sesión en una instancia de Linux. Para obtener más
información, consulte Connect to Your Linux Instances en la Guía del usuario de Amazon EC2 para
instancias de Linux.
En el caso de Amazon CloudFront, los pares de clave se utilizan para crear URL firmadas para contenido
privado; por ejemplo, cuando desea distribuir contenido restringido por el que alguien ha pagado.
Para obtener más información, consulte Serving Private Content through CloudFront en la Guía para
desarrolladores de Amazon CloudFront.
AWS no proporciona los pares de claves para su cuenta, sino que usted debe crearlos. Puede crear pares
de claves de Amazon EC2 en la consola de Amazon EC2, la CLI o la API. Para obtener más información,
consulte Amazon EC2 Key Pairs en la Guía del usuario de Amazon EC2 para instancias de Linux.
Puede crear pares de claves de Amazon CloudFront en la página Security Credentials. Solo la cuenta
raíz (no los usuarios de IAM) puede crear pares de claves de CloudFront. Para obtener más información,
consulte Serving Private Content through CloudFront en la Guía para desarrolladores de Amazon
CloudFront.
• Un ID de Cuenta de AWS
• Un ID de usuario canónico
El ID de cuenta de AWS es un número de 12 dígitos, como 123456789012, que se utiliza para crear los
nombres de recursos de Amazon (ARN). Cuando se hace referencia a recursos, como un usuario de IAM
Version 1.0
73
Amazon Web Services Referencia general
Cómo encontrar los identificadores de su cuenta
o un almacén de Amazon Glacier, el ID de cuenta distingue sus recursos de aquellos de otras cuentas de
AWS.
Puede utilizar ID de usuario canónico en una política de bucket de Amazon S3 para el acceso entre
cuentas; esto significa que una cuenta de AWS puede acceder a los recursos de otra cuenta de AWS.
Por ejemplo, para conceder a otra cuenta de AWS acceso a su bucket, debe especificar el ID de usuario
canónico en la política del bucket. Para obtener más información, consulte Bucket Policy Examples en la
Guía para desarrolladores de Amazon Simple Storage Service.
Para los usuarios de IAM o federados, puede obtener el ID de cuenta de AWS en el panel del Centro de
soporte. También puede elegir Support y, a continuación, Support Center. El ID se muestra en la parte
superior derecha. El ID de cuenta de una cuenta de AWS es el mismo para la cuenta raíz y para los
usuarios de IAM de esta. Para obtener más información, consulte Your AWS Account ID and Its Alias.
Note
También puede devolver el ID de usuario canónico con la API ListBuckets de Amazon S3.
Para obtener más información, consulte GET Service Response Elements en la Amazon Simple
Storage Service API Reference.
Cualquier persona que tenga su clave de acceso disfrutará del mismo nivel de acceso a los recursos de
AWS que usted. Por lo tanto, AWS adopta diversas medidas para proteger las claves de acceso y, en
consonancia con nuestro modelo de responsabilidad compartida, también usted debe adoptarlas.
Los pasos siguientes pueden ayudarle a proteger las claves de acceso. Para obtener información general
sobre el tema, consulte Credenciales de seguridad de AWS (p. 69).
Note
Puede que su organización tenga políticas y requisitos de seguridad distintos de los descritos en
este tema. Las sugerencias proporcionadas aquí pretenden ser unas directrices generales.
Temas
• Eliminación (o abstención de generación) de una clave de acceso de cuenta raíz (p. 75)
• Utilice credenciales de seguridad temporales (roles de IAM) e lugar de claves de acceso a largo
plazo (p. 75)
• Administración correcta de las claves de acceso de los usuarios de IAM (p. 76)
Version 1.0
74
Amazon Web Services Referencia general
Eliminación (o abstención de generación)
de una clave de acceso de cuenta raíz
Una de las mejores formas de proteger su cuenta es no tener una clave de acceso para la cuenta raíz.
A menos que necesite tener una clave de acceso raíz (lo que es bastante infrecuente), es mejor no
generarla. En su lugar, la práctica recomendada consiste en crear uno o más usuarios de AWS Identity and
Access Management (IAM), proporcionarles los permisos necesarios y utilizar a los usuarios de IAM para
las interacciones cotidianas con AWS.
Si ya tiene una clave de acceso para su cuenta, le recomendamos que encuentre los lugares de las
aplicaciones donde la utiliza dicha clave (si procede), sustituya la clave de acceso raíz por una clave de
acceso de usuario de IAM y, a continuación, deshabilite y elimine la clave de acceso raíz. Para obtener
más información acerca de cómo sustituir una clave de acceso por otra, consulte la publicación How to
Rotate Access Keys for IAM Users en AWS Security Blog.
De forma predeterminada, AWS no genera una clave de acceso para las cuentas nuevas.
Para obtener información sobre cómo crear un usuario de IAM con permisos administrativos, consulte
Creating Your First IAM Admin User y Group en la Guía del usuario de IAM.
Las claves de acceso a largo plazo, como las asociados a los usuarios de IAM y a las cuentas (raíz)
de AWS, siguen siendo válidas hasta que se revocan manualmente. Sin embargo, las credenciales de
seguridad temporales obtenidas a través de roles de IAM y otras funciones de AWS Security Token
Service, caducan tras un breve periodo de tiempo. Utilice las credenciales de seguridad temporales para
ayudar a reducir el riesgo en caso de se vean expuestas accidentalmente.
• Tiene una aplicación o scripts de AWS CLI que se ejecuta en una instancia Amazon EC2. No pase una
clave de acceso a la aplicación ni la integre en la aplicación, ni tampoco haga que la aplicación lea una
clave de un origen como un bucket de Amazon S3 (aunque el bucket esté cifrado). En cambio, defina un
rol de IAM que tenga los permisos adecuados para su aplicación y lance la instancia Amazon EC2 con
roles para EC2. De este modo se asocia un rol de IAM con la instancia Amazon EC2 y se permite que la
aplicación obtenga credenciales de seguridad temporales que, a su vez, la aplicación puede utilizar para
realizar llamadas de AWS. Los AWS SDK; y la AWS CLI pueden obtener credenciales temporales del rol
automáticamente.
• Debe conceder acceso entre cuentas. Utilice un rol de IAM para establecer la confianza entre las
cuentas y, a continuación, conceda a los usuarios de una cuenta permisos limitados para acceder a la
Version 1.0
75
Amazon Web Services Referencia general
Administración correcta de las claves
de acceso de los usuarios de IAM
cuenta de confianza. Para obtener más información, consulte Tutorial: Delegate Access Across AWS
Accounts Using IAM Roles en la Guía del usuario de IAM.
• Tiene una aplicación móvil. No integre una clave de acceso en la aplicación, ni siquiera en el
almacenamiento cifrado. En su lugar, utilice Amazon Cognito para administrar la identidad de los
usuarios en su aplicación. Este servicio permite autenticar a los usuarios mediante Login with Amazon,
Facebook, Google o cualquier proveedor de identidad compatible con OpenID Connect (OIDC). A
continuación, puede utilizar el proveedor de credenciales de Amazon Cognito para administrar las
credenciales que la aplicación utiliza para realizar solicitudes a AWS. Para obtener más información,
consulte Using the Amazon Cognito Credentials Provider en AWS Mobile Blog.
• Desea utilizar la federación en AWS y su organización admite SAML 2.0. Si trabaja en una organización
cuyo proveedor de identidad admite SAML 2.0, configure el proveedor de modo que use SAML para
intercambiar la información de autenticación con AWS y devuelva un conjunto de credenciales de
seguridad temporales. Para obtener más información, consulte About SAML 2.0-based Federation en la
Guía del usuario de IAM.
• Desea utilizar la federación en AWS y su organización tiene un almacén de identidades local. Si los
usuarios pueden autenticarse dentro de su organización, puede escribir una aplicación que emita
credenciales de seguridad temporales para acceder a los recursos de AWS. Para obtener más
información, consulte Creating a URL that Enables Federated Users to Access the AWS Management
Console (Custom Federation Broker) en la Guía del usuario de IAM.
• No integre las claves de acceso directamente en el código. Los AWS SDK y las herramientas de línea
de comandos de AWS le permiten colocar las claves de acceso en ubicaciones conocidas para que no
tenga que mantenerlas en el código.
Para obtener información acerca de cómo utilizar el archivo de credenciales de AWS, consulte
la documentación del SDK. Encontrará ejemplos en Set up AWS Credentials and Region for
Development en la AWS SDK for Java Developer Guide y Configuration and Credential Files en la
AWS Command Line Interface Guía del usuario.
Note
Para almacenar las credenciales de AWS SDK para .NET y Herramientas de AWS para
Windows PowerShell, recomendamos utilizar el almacén de SDK. Para obtener más
información, consulte Using the SDK Store en la AWS SDK para .NET Developer Guide.
• Variables de entorno. En un sistema multicliente, opte por las variables de entorno de usuario, en lugar
de las variables de entorno del sistema.
Version 1.0
76
Amazon Web Services Referencia general
Más recursos
Para obtener más información acerca de cómo utilizar las variables de entorno para almacenar
credenciales, consulte Environment Variables en la AWS Command Line Interface Guía del usuario.
• Utilice claves de acceso distintas para las diferentes aplicaciones. Esto le permitirá aislar los permisos
y revocar las claves de acceso para aplicaciones individuales si una clave de acceso se ve expuesta.
Disponer de una claves de acceso independiente para cada aplicación, además, genera entradas
diferenciadas en los archivos de registro de AWS CloudTrail; de esta forma, le resultará más fácil
determinar qué aplicación ha realizado una acción determinada.
• Rote las claves de acceso de forma periódica. Cambie las claves de acceso con regularidad. Para
obtener más información, consulte Rotating Access Keys (AWS CLI, Herramientas para Windows
PowerShell, and AWS API) en la Guía del usuario de IAM y How to Rotate Access Keys for IAM Users
en AWS Security Blog.
• Elimine las claves de acceso no utilizadas. Si un usuario se marcha de la organización, elimine el
usuario de IAM correspondiente, de tal forma que ya no pueda obtener acceso a los recursos. Para
saber cuándo se utilizó por última vez una clave de acceso, utilice la API GetAccessKeyLastUsed
(comando de AWS CLI: aws iam get-access-key-last-used).
• Configure la autenticación multifactor para las operaciones más confidenciales. Para obtener más
información, consulte Using Multi-Factor Authentication (MFA) in AWS en la Guía del usuario de IAM.
Más recursos
Para obtener más información sobre las prácticas recomendadas para mantener protegida su cuenta de
AWS, consulte los siguientes recursos:
• Prácticas recomendadas de IAM. En este tema se presenta una lista de sugerencias para utilizar el
servicio de AWS Identity and Access Management (IAM) con el fin de ayudar a proteger sus recursos de
AWS.
• En las siguientes páginas se proporciona información sobre cómo configurar los AWS SDK y la AWS CLI
para utilizar claves de acceso.
• Set up AWS Credentials and Region for Development en la AWS SDK for Java Developer Guide.
• Using the SDK Store en la AWS SDK para .NET Developer Guide.
• Providing Credentials to the SDK en la AWS SDK para PHP Developer Guide.
• Configuration en la documentación de Boto 3 (AWS SDK para Python).
• Using AWS Credentials en la guía de Herramientas de AWS para Windows PowerShell.
• Configuration and Credential Files en la AWS Command Line Interface Guía del usuario.
• Granting Access Using an IAM Role. En este tutorial se explica cómo los programas escritos utilizando
el .NET SDK pueden obtener automáticamente las credenciales de seguridad temporales cuando se
ejecutan en una instancia Amazon EC2. Hay un tema parecido dedicado a AWS SDK para Java.
Recomendamos no crear claves de acceso para su cuenta de AWS y eliminar las existentes. En lugar de
ello, cree un usuario en AWS Identity and Access Management (IAM) y elija Programmatic access para
crear una clave de acceso para el usuario. Para obtener más información, consulte Lock away your AWS
account (root) access keys en la Guía del usuario de IAM.
Version 1.0
77
Amazon Web Services Referencia general
Creación, deshabilitación y eliminación de
claves de acceso para su cuenta de AWS
Cuando se crea una clave de acceso, AWS permite ver y descargar la clave de acceso secreta una única
vez. Si no la descarga o la pierde, puede eliminar la clave de acceso y, a continuación, crear una nueva.
Una clave de acceso recién creada tiene el estado activo; esto significa que se puede utilizar para efectuar
llamadas a la API. Puede tener un máximo de dos claves de acceso para su cuenta de AWS, lo que resulta
útil si desea rotar las claves de acceso (p. 76). Cuando se deshabilita una clave de acceso, no se puede
utilizar para las llamadas a la API.
Puede crear o eliminar una clave de acceso en cualquier momento. Sin embargo, cuando se elimina una
clave de acceso, desaparece para siempre y ya no se puede recuperar.
Para crear, deshabilitar o eliminar una clave de acceso para su cuenta de AWS (raíz)
1. Utilice la dirección de correo electrónico y contraseña de su cuenta de AWS para iniciar sesión en la
Consola de administración de AWS.
Si antes ha iniciado sesión en la consola con las credenciales de usuario de IAM, el navegador podría
abrir su página de inicio de sesión de usuario de IAM. No puede utilizar la página de inicio de sesión
de usuario de IAM para iniciar sesión con las credenciales de su cuenta de AWS. En su lugar, elija
Sign-in using root account credentials para ir a la página de inicio de sesión de la cuenta de AWS.
2. En la parte superior derecha de la consola, elija su nombre o número de cuenta. A continuación, elija
My Security Credentials.
3. Elija Continue to Security Credentials.
4. Amplíe la sección Access Keys (Access Key ID and Secret Access Key).
5. Elija la acción que desee realizar.
Elija Create New Access Key. A continuación, elija Download Key File para guardar el ID de clave
de acceso y la clave de acceso secreta en un archivo de su equipo. Después de cerrar el cuadro
de diálogo, no podrá volver a recuperar esta clave de acceso secreta.
Para deshabilitar una clave de acceso
Elija Make Inactive junto a la clave de acceso que desee deshabilitar. Para volver a habilitar una
clave de acceso inactiva, elija Make Active.
Para eliminar una clave de acceso
Antes de eliminar una clave de acceso, asegúrese de que ya no está en uso. Para obtener más
información, consulte Finding unused access keys en la Guía del usuario de IAM. No se puede
recuperar una clave de acceso después de haberla eliminado. A continuación, elija Delete junto a
la clave de acceso que desea eliminar.
Version 1.0
78
Amazon Web Services Referencia general
¿Cuándo se debe llevar a cabo una auditoría de seguridad?
grupos, los roles y las políticas de IAM innecesarios y de asegurarse de que los usuarios y el software
tengan únicamente los permisos que necesiten.
A continuación encontrará las directrices para revisar y monitorizar sistemáticamente los recursos de AWS
en aplicación de las prácticas recomendadas de seguridad.
Temas
• ¿Cuándo se debe llevar a cabo una auditoría de seguridad? (p. 79)
• Directrices generales de auditoría (p. 79)
• Revisión de las credenciales de su cuenta de AWS (p. 80)
• Revisión de los usuarios de IAM (p. 80)
• Revisión de los grupos de IAM (p. 80)
• Revisión de los roles de IAM (p. 80)
• Revisión de los proveedores de IAM para SAML y OpenID Connect (OIDC) (p. 81)
• Revisión de las aplicaciones móviles (p. 81)
• Revisión de la configuración de seguridad de Amazon EC2 (p. 81)
• Revisión de las políticas de AWS en otros servicios (p. 82)
• Monitorización de la actividad de su cuenta de AWS (p. 82)
• Sugerencias para revisar las políticas de IAM (p. 82)
• Más información (p. 83)
• En forma periódica. Debe realizar los pasos que se describen en este documento a intervalos regulares,
como práctica recomendada de seguridad.
• Si se producen cambios en su organización; por ejemplo, si se marchan personas.
• Si ha dejado de utilizar uno o varios servicios de AWS individuales. Esto es importante para eliminar los
permisos que los usuarios de su cuenta ya no necesitan.
• Si ha añadido o eliminado software de las cuentas, como aplicaciones en instancias Amazon EC2, pilas
de AWS OpsWorks, plantillas de AWS CloudFormation, etc.
• Si sospecha que una persona no autorizada podría haber accedido a su cuenta.
• Sea exhaustivo. Fíjese en todos los aspectos de su configuración de seguridad, incluidos aquellos que
no utilice habitualmente.
• No haga suposiciones. Si no conoce bien algún aspecto de la configuración de seguridad (por ejemplo,
los motivos para una determinada política o la existencia de un rol), investigue la necesidad de negocio
hasta quedar convencido.
• Simplifique. Para facilitar la auditoría (y la administración), utilice grupos de IAM, esquemas de
nomenclatura coherentes y políticas sencillas.
Version 1.0
79
Amazon Web Services Referencia general
Revisión de las credenciales de su cuenta de AWS
Puede generar y descargar un informe de credenciales que contenga una lista de todos los usuarios
de IAM de su cuenta y el estado de sus credenciales, tales como contraseñas, claves de acceso y
dispositivos MFA. Para las contraseñas y claves de acceso, el informe de credenciales muestra cuándo
se ha utilizado la contraseña o una clave de acceso por última vez. Las credenciales que no se han
utilizado hace poco probablemente deban eliminarse. Para obtener más información, consulte Getting
Credential Reports for your AWS Account en la Guía del usuario de IAM.
5. Rote (cambie) las credenciales de seguridad de los usuarios de forma periódica o inmediatamente si
se han compartido con una persona no autorizada. Para obtener más información, consulte Managing
Passwords for IAM Users y Managing Access Keys for IAM Users en la Guía del usuario de IAM.
Version 1.0
80
Amazon Web Services Referencia general
Revisión de los proveedores de IAM
para SAML y OpenID Connect (OIDC)
1. Asegúrese de que la aplicación móvil no contenga claves de acceso integradas, ni siquiera aunque
estén en el almacenamiento cifrado.
2. Obtenga credenciales temporales para la aplicación mediante el uso de API diseñadas para ello.
Recomendamos utilizar Amazon Cognito para administrar la identidad de los usuarios en su aplicación.
Este servicio permite autenticar a los usuarios mediante Login with Amazon, Facebook, Google o
cualquier proveedor de identidad compatible con OpenID Connect (OIDC). A continuación, puede utilizar
el proveedor de credenciales de Amazon Cognito para administrar las credenciales que la aplicación
utiliza para realizar solicitudes a AWS.
Si su aplicación móvil no admite la autenticación mediante Login with Amazon, Facebook, Google
o cualquier otro proveedor de identidades compatible con OIDC, puede crear un servidor proxy que
dispense credenciales temporales a su aplicación.
1. Elimine los pares de claves de Amazon EC2 que no se utilicen o personas ajenas a su organización
puedan conocer.
2. Revise los grupos de seguridad de Amazon EC2:
• Quite los grupos de seguridad que ya no se ajusten a sus necesidades.
• Elimine las reglas de los grupos de seguridad que ya no se ajusten a sus necesidades. Asegúrese
de saber por qué se han permitido los puertos, los protocolos y los rangos de direcciones IP que
permiten.
3. Finalice las instancias que no respondan a una necesidad de negocio o que alguien ajeno a su
organización pueda haber iniciado con fines no autorizados. Recuerde que, si se inicia una instancia
con un rol, las aplicaciones que se ejecutan en dicha instancia podrán acceder a los recursos de AWS
mediante los permisos que conceda ese rol.
4. Cancele las solicitudes de instancias de subasta que no respondan a una necesidad de negocio o que
alguien ajeno a su organización haya podido realizar.
5. Revise los grupos y las configuraciones de Auto Scaling. Apague todos aquellos que ya no se ajusten a
sus necesidades o que alguien ajeno a su organización pueda haber configurado.
Version 1.0
81
Amazon Web Services Referencia general
Revisión de las políticas de AWS en otros servicios
• Como práctica recomendada, adjunte las políticas a grupos, en lugar de a usuarios individuales. Si un
usuario individual tiene una política, asegúrese de comprender por qué ese usuario la necesita.
• Asegúrese de que los usuarios, los grupos y los roles de IAM cuenten exclusivamente con aquellos
permisos que necesiten.
• Utilice el IAM Policy Simulator para comprobar las políticas que se han adjuntado a los usuarios o
grupos.
• Recuerde que los permisos de usuario son el resultado de todas las políticas aplicables (de usuario, de
grupo y basadas en recursos y para buckets de Amazon S3, colas de Amazon SQS, temas de Amazon
SNS y claves de AWS KMS). Es importante examinar todas las políticas aplicables a un usuario y
comprender el conjunto completo de permisos concedidos a un usuario individual.
• Tenga en cuenta que permitir que un usuario de IAM cree un usuario, grupo, rol o política y adjunte
una política a la entidad principal equivale, en la práctica, a conceder a ese usuario todos los permisos
sobre todos los recursos de su cuenta. Es decir, los usuarios a quienes se permite crear políticas y
adjuntárselas a usuarios, grupos o roles se pueden conceder a sí mismos cualquier permiso. En general,
no conceda permisos de IAM a los usuarios o los roles en quienes no confía lo suficiente para que
dispongan de pleno acceso a los recursos de su cuenta. La siguiente lista contiene los permisos de IAM
que debe estudiar atentamente:
• iam:PutGroupPolicy
Version 1.0
82
Amazon Web Services Referencia general
Más información
• iam:PutRolePolicy
• iam:PutUserPolicy
• iam:CreatePolicy
• iam:CreatePolicyVersion
• iam:AttachGroupPolicy
• iam:AttachRolePolicy
• iam:AttachUserPolicy
• Asegúrese de que las políticas no concedan permisos para servicios que no se utilizan. Por ejemplo, si
utiliza políticas administradas de AWS, asegúrese de que las políticas administradas de AWS que están
en uso en su cuenta sean para servicios que utilice realmente. Para saber qué políticas administradas
de AWS se utilizan en su cuenta, utilice la API GetAccountAuthorizationDetails de IAM (comando de
AWS CLI: aws iam get-account-authorization-details).
• Si la política concede a un usuario permiso para lanzar una instancia Amazon EC2, también podría
permitir la acción iam:PassRole, pero en este caso debería enumerar de forma explícita los roles que el
usuario está autorizado a pasar a la instancia Amazon EC2.
• Examine minuciosamente todos los valores del elemento Action o Resource que incluyan *. La
práctica recomendada consiste en conceder acceso Allow solamente para las acciones y los recursos
individuales que los usuarios necesitan. Sin embargo, a continuación se citan algunas razones por las
que podría ser conveniente utilizar * en una política:
• La política está diseñada para conceder privilegios de nivel administrativo.
• El comodín se utiliza por comodidad para un conjunto de acciones similares (por ejemplo, Describe*)
y usted está convencido de la idoneidad de la lista completa de acciones a las que se hace referencia
de este modo.
• El comodín se utiliza para indicar una clase de recursos o una ruta de recursos (p. ej.,
arn:aws:iam::account-id:users/division_abc/*) y usted está convencido de la idoneidad de
conceder acceso a todos los recursos de esa clase o ruta.
• Una acción de servicio no admite permisos de nivel de recursos y la única opción para un recurso es
*.
• Examine los nombres de las políticas para asegurarse de que reflejen la función que cumple cada una
de ellas. Por ejemplo, el nombre de una política podría incluir el texto “solo lectura” pero, en realidad,
conceder permisos de escritura o cambio.
Más información
Para obtener más información sobre la administración de recursos de IAM, consulte los siguientes temas:
Para obtener más información sobre la seguridad en Amazon EC2, consulte los siguientes temas:
• Network and Security en la Guía del usuario de Amazon EC2 para instancias de Linux.
• Demystifying EC2 Resource-Level Permissions en AWS Security Blog.
Para obtener más información sobre la monitorización de cuentas de AWS, consulte la presentación
de re:Invent 2013 “Intrusion Detection in the Cloud” (vídeo; PDF de la presentación en diapositivas).
También puede descargar ejemplo de programa en Python que muestra cómo automatizar las funciones
de auditoría de seguridad.
Version 1.0
83
Amazon Web Services Referencia general
Formato de ARN
Los nombres de recursos de Amazon (ARN) identifican de forma exclusiva los recursos de AWS. Se
requiere un ARN cuando es preciso especificar un recurso de AWS de forma inequívoca para la totalidad
de AWS, como en las políticas de IAM, las etiquetas de Amazon Relational Database Service (Amazon
RDS) y las llamadas a API.
Temas
• Formato de ARN (p. 84)
• Ejemplos de ARN (p. 85)
• Rutas de los ARN (p. 101)
• Espacios de nombres de servicios de AWS (p. 102)
Formato de ARN
A continuación se muestran algunos ejemplos de ARN:
A continuación se muestran los formatos generales de los ARN; sus componentes específicos y los valores
utilizados dependerán del servicio de AWS.
arn:partition:service:region:account-id:resource
Version 1.0
84
Amazon Web Services Referencia general
Ejemplos de ARN
arn:partition:service:region:account-id:resourcetype/resource
arn:partition:service:region:account-id:resourcetype:resource
partition
Partición en la que se encuentra el recurso. Para las regiones de AWS estándar, la partición es aws. Si
tiene recursos en otras particiones, la partición es aws-partitionname. Por ejemplo, la partición de los
recursos de la región China (Beijing) es aws-cn.
service
Espacio de nombres del servicio que identifica el producto de AWS (por ejemplo, Amazon S3, IAM
o Amazon RDS). Para obtener una lista de espacios de nombres, consulte Espacios de nombres de
servicios de AWS (p. 102).
region
Región en la que reside el recurso. Tenga en cuenta que el ARN de algunos recursos no requiere una
región, por lo que este componente podría omitirse.
account
ID (p. 73) de la cuenta de AWS que posee el recurso, sin los guiones. Por ejemplo, 123456789012.
Tenga en cuenta que el ARN de algunos recursos no requiere un número de cuenta, por lo que este
componente podría omitirse.
resource, resourcetype:resource o resourcetype/resource
El contenido de esta parte del ARN varía en función del servicio. A menudo incluye un indicador
del tipo de recurso (por ejemplo, un usuario de IAM o una base de datos de Amazon RDS) seguido
por una barra diagonal (/) o un signo de dos puntos (:) y, a continuación, el nombre del recurso
propiamente dicho. Algunos servicios permite rutas en los nombres de recursos, tal y como se
describe en Rutas de los ARN (p. 101).
Ejemplos de ARN
En las secciones siguientes se proporcionan la sintaxis y ejemplos de los ARN de los diferentes servicios.
Para obtener más información sobre el uso de ARN en un servicio de AWS concreto, consulte la
documentación correspondiente a dicho servicio.
Algunos servicios admiten los permisos de nivel de recursos de IAM. Para obtener más información,
consulte AWS Services That Work with IAM.
Temas
• Amazon API Gateway (p. 86)
• AWS Artifact (p. 87)
• Auto Scaling (p. 87)
• AWS Certificate Manager (p. 87)
• AWS CloudFormation (p. 87)
• Amazon CloudSearch (p. 88)
• AWS CloudTrail (p. 88)
• Amazon CloudWatch Events (p. 88)
• Amazon CloudWatch Logs (p. 88)
• AWS CodeBuild (p. 89)
• AWS CodeCommit (p. 89)
• AWS CodeDeploy (p. 89)
• Amazon Cognito Your User Pools (p. 89)
Version 1.0
85
Amazon Web Services Referencia general
Amazon API Gateway
arn:aws:apigateway:region::resource-path
Version 1.0
86
Amazon Web Services Referencia general
AWS Artifact
arn:aws:execute-api:region:account-id:api-id/stage-name/HTTP-VERB/resource-path
Ejemplos:
arn:aws:apigateway:us-east-1::/restapis/a123456789012bc3de45678901f23a45/*
arn:aws:apigateway:us-east-1::a123456789012bc3de45678901f23a45:/test/mydemoresource/*
arn:aws:apigateway:*::a123456789012bc3de45678901f23a45:/*/petstorewalkthrough/pets
arn:aws:execute-api:us-east-1:123456789012:qsxrty/test/GET/mydemoresource/*
AWS Artifact
Sintaxis:
arn:aws:artifact:::report-package/document-type/report-type
Ejemplos:
Auto Scaling
Sintaxis:
arn:aws:autoscaling:region:account-
id:scalingPolicy:policyid:autoScalingGroupName/groupfriendlyname:policyname/
policyfriendlyname
arn:aws:autoscaling:region:account-
id:autoScalingGroup:groupid:autoScalingGroupName/groupfriendlyname
Ejemplo:
arn:aws:autoscaling:us-east-1:123456789012:scalingPolicy:c7a27f55-d35e-4153-
b044-8ca9155fc467:autoScalingGroupName/my-test-asg1:policyName/my-scaleout-policy
arn:aws:acm:region:account-id:certificate/certificate-id
Ejemplo:
arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
AWS CloudFormation
Sintaxis:
arn:aws:cloudformation:region:account-id:stack/stackname/additionalidentifier
Version 1.0
87
Amazon Web Services Referencia general
Amazon CloudSearch
arn:aws:cloudformation:region:account-id:changeSet/changesetname/additionalidentifier
Ejemplos:
arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-
a6e8-50fa526be49c
arn:aws:cloudformation:us-east-1:123456789012:changeSet/MyProductionChangeSet/
abc9dbf0-43c2-11e3-a6e8-50fa526be49c
Amazon CloudSearch
Sintaxis:
arn:aws:cloudsearch:region:account-id:domain/domainname
Ejemplo:
arn:aws:cloudsearch:us-east-1:123456789012:domain/imdb-movies
AWS CloudTrail
Sintaxis:
arn:aws:cloudtrail:region:account-id:trail/trailname
Ejemplo:
arn:aws:cloudtrail:us-east-1:123456789012:trail/mytrailname
arn:aws:events:region:*:*
Ejemplos:
arn:aws:events:us-east-1:*:*
arn:aws:events:us-east-1:123456789012:*
arn:aws:events:us-east-1:123456789012:rule/my-rule
arn:aws:logs:region:*:*
Ejemplos:
arn:aws:logs:us-east-1:*:*
Version 1.0
88
Amazon Web Services Referencia general
AWS CodeBuild
arn:aws:logs:us-east-1:123456789012:*
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group:*
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group*
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group:log-stream:my-log-stream
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group:log-stream:my-log-stream*
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group*:log-stream:my-log-stream*
AWS CodeBuild
Sintaxis:
arn:aws:codebuild:region:account-id:resourcetype/resource
Ejemplos:
arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project
arn:aws:codebuild:us-east-1:123456789012:build/my-demo-
project:7b7416ae-89b4-46cc-8236-61129df660ad
AWS CodeCommit
Sintaxis:
arn:aws:codecommit:region:account-id:resource-specifier
Ejemplo:
arn:aws:codecommit:us-east-1:123456789012:MyDemoRepo
AWS CodeDeploy
Sintaxis:
arn:aws:codedeploy:region:account-id:resource-type:resource-specifier
arn:aws:codedeploy:region:account-id:resource-type/resource-specifier
Ejemplo:
arn:aws:codedeploy:us-east-1:123456789012:application:WordPress_App
arn:aws:codedeploy:us-east-1:123456789012:instance/AssetTag*
arn:aws:cognito-idp:region:account-id:userpool/user-pool-id
Ejemplo:
arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1:1a1a1a1a-
ffff-1111-9999-12345678
Version 1.0
89
Amazon Web Services Referencia general
Amazon Cognito Federated Identities
arn:aws:cognito-identity:region:account-id:identitypool/identity-pool-id
Ejemplo:
arn:aws:cognito-identity:us-east-1:123456789012:/identitypool/us-east-1:1a1a1a1a-
ffff-1111-9999-12345678
arn:aws:cognito-sync:region:account-id:identitypool/identity-pool-id
arn:aws:cognito-sync:region:account-id:identitypool/identity-pool-id/identity/identity-id
arn:aws:cognito-sync:region:account-id:identitypool/identity-pool-id/identity/identity-id/
dataset/dataset-name
Ejemplo:
arn:aws:cognito-sync:us-east-1:123456789012:identitypool/us-east-1:1a1a1a1a-
ffff-1111-9999-12345678
AWS Config
Sintaxis:
arn:aws:config:region:account-id:config-rule/config-rule-name
Ejemplo:
arn:aws:config:us-east-1:123456789012:config-rule/MyConfigRule
AWS CodePipeline
Sintaxis:
arn:aws:codepipeline:region:account-id:resource-specifier
Ejemplo:
arn:aws:codepipeline:us-east-1:123456789012:MyDemoPipeline
Version 1.0
90
Amazon Web Services Referencia general
Amazon DynamoDB
arn:aws:directconnect:region:account-id:dxcon/connection-id
arn:aws:directconnect:region:account-id:dxlag/lag-id
arn:aws:directconnect:region:account-id:dxvif/virtual-interface-id
Ejemplos:
arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-fgase048
arn:aws:directconnect:us-east-1:123456789012:dxlag/dxlag-ffy7zraq
arn:aws:directconnect:us-east-1:123456789012:dxvif/dxvif-fgrb110x
Amazon DynamoDB
Sintaxis:
arn:aws:dynamodb:region:account-id:table/tablename
Ejemplo:
arn:aws:dynamodb:us-east-1:123456789012:table/books_table
arn:aws:ecr:region:account-id:repository/repository-name
Ejemplo:
arn:aws:ecr:us-east-1:123456789012:repository/my-repository
arn:aws:ecs:region:account-id:cluster/cluster-name
arn:aws:ecs:region:account-id:container-instance/container-instance-id
arn:aws:ecs:region:account-id:task-definition/task-definition-family-name:task-definition-
revision-number
arn:aws:ecs:region:account-id:service/service-name
arn:aws:ecs:region:account-id:task/task-id
arn:aws:ecs:region:account-id:container/container-id
Ejemplos:
arn:aws:ecs:us-east-1:123456789012:cluster/my-cluster
arn:aws:ecs:us-east-1:123456789012:container-instance/403125b0-555c-4473-86b5-65982db28a6d
arn:aws:ecs:us-east-1:123456789012:task-definition/hello_world:8
arn:aws:ecs:us-east-1:123456789012:service/sample-webapp
arn:aws:ecs:us-east-1:123456789012:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a
arn:aws:ecs:us-east-1:123456789012:container/476e7c41-17f2-4c17-9d14-412566202c8a
Version 1.0
91
Amazon Web Services Referencia general
AWS Elastic Beanstalk
arn:aws:ec2:region:account-id:customer-gateway/cgw-id
arn:aws:ec2:region:account_id:dedicated-host/host_id
arn:aws:ec2:region:account-id:dhcp-options/dhcp-options-id
arn:aws:ec2:region::image/image-id
arn:aws:ec2:region:account-id:instance/instance-id
arn:aws:iam::account:instance-profile/instance-profile-name
arn:aws:ec2:region:account-id:internet-gateway/igw-id
arn:aws:ec2:region:account-id:key-pair/key-pair-name
arn:aws:ec2:region:account-id:network-acl/nacl-id
arn:aws:ec2:region:account-id:network-interface/eni-id
arn:aws:ec2:region:account-id:placement-group/placement-group-name
arn:aws:ec2:region:account-id:route-table/route-table-id
arn:aws:ec2:region:account-id:security-group/security-group-id
arn:aws:ec2:region:account-id:snapshot/snapshot-id
arn:aws:ec2:region:account-id:subnet/subnet-id
arn:aws:ec2:region:account-id:volume/volume-id
arn:aws:ec2:region:account-id:vpc/vpc-id
arn:aws:ec2:region:account-id:vpc-peering-connection/vpc-peering-connection-id
arn:aws:ec2:region:account-id:vpn-connection/vpn-id
arn:aws:ec2:region:account-id:vpn-gateway/vgw-id
Ejemplos:
arn:aws:ec2:us-east-1:123456789012:dedicated-host/h-12345678
arn:aws:ec2:us-east-1::image/ami-1a2b3c4d
arn:aws:ec2:us-east-1:123456789012:instance/*
arn:aws:ec2:us-east-1:123456789012:volume/*
arn:aws:ec2:us-east-1:123456789012:volume/vol-1a2b3c4d
arn:aws:elasticbeanstalk:region:account-id:application/applicationname
arn:aws:elasticbeanstalk:region:account-id:applicationversion/applicationname/versionlabel
arn:aws:elasticbeanstalk:region:account-id:environment/applicationname/environmentname
arn:aws:elasticbeanstalk:region::solutionstack/solutionstackname
arn:aws:elasticbeanstalk:region:account-
id:configurationtemplate/applicationname/templatename
Ejemplos:
arn:aws:elasticbeanstalk:us-east-1:123456789012:application/My App
arn:aws:elasticbeanstalk:us-east-1:123456789012:applicationversion/My App/My Version
arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/My App/MyEnvironment
arn:aws:elasticbeanstalk:us-east-1::solutionstack/32bit Amazon Linux running Tomcat 7
arn:aws:elasticbeanstalk:us-east-1:123456789012:configurationtemplate/My App/My Template
arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
Ejemplo:
arn:aws:elasticfilesystem:us-east-1:123456789012:file-system-id/fs12345678
Version 1.0
92
Amazon Web Services Referencia general
Elastic Load Balancing (Balanceador
de carga de aplicaciones)
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-
balancer-id
arn:aws:elasticloadbalancing:region:account-id:listener/app/load-balancer-name/load-
balancer-id/listener-id
arn:aws:elasticloadbalancing:region:account-id:listener-rule/app/load-balancer-name/load-
balancer-id/listener-id/rule-id
arn:aws:elasticloadbalancing:region:account-id:targetgroup/target-group-name/target-group-
id
Ejemplos:
arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/my-load-
balancer/50dc6c495c0c9188
arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-
balancer/50dc6c495c0c9188/f2f7dc8efc522ab2
arn:aws:elasticloadbalancing:us-east-1:123456789012:listener-rule/app/my-load-
balancer/50dc6c495c0c9188/f2f7dc8efc522ab2/9683b2d02a6cabee
arn:aws:elasticloadbalancing:us-east-1:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/name
Ejemplo:
arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/my-load-balancer
arn:aws:elastictranscoder:region:account-id:resource/id
Ejemplo:
arn:aws:elastictranscoder:us-east-1:123456789012:preset/*
Amazon ElastiCache
Sintaxis:
arn:aws:elasticache:region:account-id:resourcetype:resourcename
Ejemplos:
Version 1.0
93
Amazon Web Services Referencia general
Amazon Elasticsearch Service
arn:aws:elasticache:us-east-2:123456789012:cluster:myCluster
arn:aws:elasticache:us-east-2:123456789012:snapshot:mySnapshot
arn:aws:es:region:account-id:domain/domain-name
Ejemplo:
arn:aws:es:us-east-1:123456789012:domain/streaming-logs
Amazon Glacier
Sintaxis:
arn:aws:glacier:region:account-id:vaults/vaultname
Ejemplos:
arn:aws:glacier:us-east-1:123456789012:vaults/examplevault
arn:aws:glacier:us-east-1:123456789012:vaults/example*
arn:aws:glacier:us-east-1:123456789012:vaults/*
arn:aws:health:region::event/event-id
arn:aws:health:region:account-id:entity/entity-id
Ejemplos:
arn:aws:health:us-east-1::event/AWS_EC2_EXAMPLE_ID
arn:aws:health:us-east-1:123456789012:entity/AVh5GGT7ul1arKr1sE1K
arn:aws:iam::account-id:root
arn:aws:iam::account-id:user/user-name
arn:aws:iam::account-id:group/group-name
arn:aws:iam::account-id:role/role-name
arn:aws:iam::account-id:policy/policy-name
arn:aws:iam::account-id:instance-profile/instance-profile-name
arn:aws:sts::account-id:federated-user/user-name
arn:aws:sts::account-id:assumed-role/role-name/role-session-name
arn:aws:iam::account-id:mfa/virtual-device-name
arn:aws:iam::account-id:server-certificate/certificate-name
arn:aws:iam::account-id:saml-provider/provider-name
arn:aws:iam::account-id:oidc-provider/provider-name
Version 1.0
94
Amazon Web Services Referencia general
AWS IoT
Ejemplos:
arn:aws:iam::123456789012:root
arn:aws:iam::123456789012:user/Bob
arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob
arn:aws:iam::123456789012:group/Developers
arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developers
arn:aws:iam::123456789012:role/S3Access
arn:aws:iam::123456789012:role/application_abc/component_xyz/S3Access
arn:aws:iam::123456789012:policy/UsersManageOwnCredentials
arn:aws:iam::123456789012:policy/division_abc/subdivision_xyz/UsersManageOwnCredentials
arn:aws:iam::123456789012:instance-profile/Webserver
arn:aws:sts::123456789012:federated-user/Bob
arn:aws:sts::123456789012:assumed-role/Accounting-Role/Mary
arn:aws:iam::123456789012:mfa/BobJonesMFA
arn:aws:iam::123456789012:server-certificate/ProdServerCert
arn:aws:iam::123456789012:server-certificate/division_abc/subdivision_xyz/ProdServerCert
arn:aws:iam::123456789012:saml-provider/ADFSProvider
arn:aws:iam::123456789012:oidc-provider/GoogleProvider
Para obtener más información sobre los ARN de IAM, consulte IAM ARNs en la Guía del usuario de IAM.
AWS IoT
Sintaxis:
arn:aws:iot:your-region:account-id:cert/cert-ID
arn:aws:iot:your-region:account-id:policy/policy-name
arn:aws:iot:your-region:account-id:rule/rule-name
arn:aws:iot:your-region:account-id:client/client-id/rule-name
Ejemplos:
arn:aws:iot:your-
region:123456789012:cert/123a456b789c123d456e789f123a456b789c123d456e789f123a456b789c123c456d7
arn:aws:iot:123456789012:policy/MyIoTPolicy
arn:aws:iot:your-region:123456789012:rule/MyIoTRule
arn:aws:iot:your-region:123456789012:client/client101
arn:aws:kms:region:account-id:key/key-id
arn:aws:kms:region:account-id:alias/alias
Ejemplos:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
arn:aws:kms:us-east-1:123456789012:alias/example-alias
arn:aws:firehose:region:account-id:deliverystream/delivery-stream-name
Version 1.0
95
Amazon Web Services Referencia general
Amazon Kinesis Streams (Streams)
Ejemplo:
arn:aws:firehose:us-east-1:123456789012:deliverystream/example-stream-name
arn:aws:kinesis:region:account-id:stream/stream-name
Ejemplo:
arn:aws:kinesis:us-east-1:123456789012:stream/example-stream-name
arn:aws:lambda:region:account-id:function:function-name
arn:aws:lambda:region:account-id:function:function-name:alias-name
arn:aws:lambda:region:account-id:function:function-name:version
arn:aws:lambda:region:account-id:event-source-mappings:event-source-mapping-id
Ejemplos:
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords:your alias
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords:1.0
arn:aws:lambda:us-east-1:123456789012:event-source-mappings:kinesis-stream-arn
arn:aws:machinelearning:region:account-id:datasource/datasourceID
arn:aws:machinelearning:region:account-id:mlmodel/mlmodelID
arn:aws:machinelearning:region:account-id:batchprediction/batchpredictionlID
arn:aws:machinelearning:region:account-id:evaluation/evaluationID
Ejemplos:
arn:aws:machinelearning:us-east-1:123456789012:datasource/my-datasource-1
arn:aws:machinelearning:us-east-1:123456789012:mlmodel/my-mlmodel
arn:aws:machinelearning:us-east-1:123456789012:batchprediction/my-batchprediction
arn:aws:machinelearning:us-east-1:123456789012:evaluation/my-evaluation
AWS Organizations
Sintaxis:
arn:aws:organizations:region:master-account-id:organization/o-organization-id
arn:aws:organizations:region:master-account-id:root/o-organization-id/r-root-id
arn:aws:organizations:region:master-account-id:account/o-organization-id/account-id
Version 1.0
96
Amazon Web Services Referencia general
AWS Mobile Hub
arn:aws:organizations:region:master-account-id:ou/o-organization-id/r-root-id/
ou-organizational-unit-id
arn:aws:organizations:region:master-account-id:policy/o-organization-id/policy-type/
p-policy-id
arn:aws:organizations:region:master-account-id:handshake/o-organization-id/handshake-type/
h-handshake-id
Ejemplo:
arn:aws:organizations:us-east-1:123456789012:organization/o-a1b2c3d4e5example
arn:aws:organizations:us-east-1:123456789012:root/o-a1b2c3d4e5/r-f6g7h8i9j0example
arn:aws:organizations:us-east-1:123456789012:account/o-a1b2c3d4e5/123456789012
arn:aws:organizations:us-east-1:123456789012:ou/o-a1b2c3d4e5/ou-1a2b3c-k9l8m7n6o5example
arn:aws:organizations:us-east-1:123456789012:policy/o-a1b2c3d4e5/service_control_policy/p-
p4q3r2s1t0example
arn:aws:organizations:us-east-1:123456789012:handshake/o-a1b2c3d4e5/h-u2v4w5x8y0example
arn:aws:mobilehub:region:account-id:project/projectID
Ejemplos:
arn:aws:mobilehub:us-east-1:123456789012:project/a01234567-b012345678-123c-d013456789abc
Amazon Polly
Sintaxis:
arn:aws:polly:region:account-id:lexicon/LexiconName
Ejemplo:
arn:aws:polly:us-east-1:123456789012:lexicon/myLexicon
Amazon Redshift
Sintaxis:
arn:aws:redshift:region:account-id:cluster:clustername
arn:aws:redshift:region:account-id:dbuser:clustername/dbusername
arn:aws:redshift:region:account-id:parametergroup:parametergroupname
arn:aws:redshift:region:account-id:securitygroup:securitygroupname
arn:aws:redshift:region:account-id:snapshot:clustername/snapshotname
arn:aws:redshift:region:account-id:subnetgroup:subnetgroupname
Ejemplos:
arn:aws:redshift:us-east-1:123456789012:cluster:my-cluster
arn:aws:redshift:us-east-1:123456789012:my-cluster/my-dbuser-name
arn:aws:redshift:us-east-1:123456789012:parametergroup:my-parameter-group
arn:aws:redshift:us-east-1:123456789012:securitygroup:my-public-group
arn:aws:redshift:us-east-1:123456789012:snapshot:my-cluster/my-snapshot20130807
Version 1.0
97
Amazon Web Services Referencia general
Amazon Relational Database Service (Amazon RDS)
arn:aws:redshift:us-east-1:123456789012:subnetgroup:my-subnet-10
Sintaxis:
arn:aws:rds:region:account-id:db:db-instance-name
arn:aws:rds:region:account-id:snapshot:snapshot-name
arn:aws:rds:region:account-id:cluster:db-cluster-name
arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name
arn:aws:rds:region:account-id:og:option-group-name
arn:aws:rds:region:account-id:pg:parameter-group-name
arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name
arn:aws:rds:region:account-id:secgrp:security-group-name
arn:aws:rds:region:account-id:subgrp:subnet-group-name
arn:aws:rds:region:account-id:es:subscription-name
Ejemplos:
arn:aws:rds:us-east-1:123456789012:db:mysql-db-instance1
arn:aws:rds:us-east-1:123456789012:snapshot:my-snapshot2
arn:aws:rds:us-east-1:123456789012:cluster:my-cluster1
arn:aws:rds:us-east-1:123456789012:cluster-snapshot:cluster1-snapshot7
arn:aws:rds:us-east-1:123456789012:og:mysql-option-group1
arn:aws:rds:us-east-1:123456789012:pg:mysql-repl-pg1
arn:aws:rds:us-east-1:123456789012:cluster-pg:aurora-pg3
arn:aws:rds:us-east-1:123456789012:secgrp:dev-secgrp2
arn:aws:rds:us-east-1:123456789012:subgrp:prod-subgrp1
arn:aws:rds:us-east-1:123456789012:es:monitor-events2
Amazon Route 53
Sintaxis:
arn:aws:route53:::hostedzone/zoneid
arn:aws:route53:::change/changeid
Tenga en cuenta que Amazon Route 53 no requiere un número de cuenta ni una región en los ARN.
Ejemplos:
arn:aws:route53:::hostedzone/Z148QEXAMPLE8V
arn:aws:route53:::change/C2RDJ5EXAMPLE2
arn:aws:route53:::change/*
arn:aws:ssm:region:account-id:document/document_name
arn:aws:ssm:region:account-id:parameter/parameter_name
arn:aws:ssm:region:account-id:patchbaseline/baseline_id
arn:aws:ssm:region:account-id:maintenancewindow/window_id
arn:aws:ssm:region:account-id:automation-execution/execution_id
Version 1.0
98
Amazon Web Services Referencia general
Amazon Simple Notification Service (Amazon SNS)
arn:aws:ssm:region:account-id:automation-Activity/activity_name
arn:aws:ssm:region:account-id:automation-definition/definitionName:version
arn:aws:ssm:region:account-id:managed-instance/instance_id
arn:aws:ssm:region:account-id:managed-instance-inventory/instance_id
Ejemplos:
arn:aws:ssm:us-east-1:123456789012:document/highAvailabilityServerSetup
arn:aws:ssm:us-east-1:123456789012:parameter/myParameterName
arn:aws:ssm:us-east-1:123456789012:patchbaseline/pb-12345678901234567
arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-12345678901234567
arn:aws:ssm:us-east-1:123456789012:automation-execution/123456-6789-1a2b3-c4d5-e1a2b3c4d
arn:aws:ssm:us-east-1:123456789012:automation-activity/myActivityName
arn:aws:ssm:us-east-1:123456789012:automation-definition/myDefinitionName:1.0
arn:aws:ssm:us-east-1:123456789012:managed-instance/mi-12345678901234567
arn:aws:ssm:us-east-1:123456789012:managed-instance-inventory/i-12345661
arn:aws:sns:region:account-id:topicname
arn:aws:sns:region:account-id:topicname:subscriptionid
Ejemplos:
arn:aws:sns:*:123456789012:my_corporate_topic
arn:aws:sns:us-east-1:123456789012:my_corporate_topic:02034b43-fefa-4e07-a5eb-3be56f8c54ce
arn:aws:sqs:region:account-id:queuename
Ejemplo:
arn:aws:sqs:us-east-1:123456789012:queue1
arn:aws:s3:::bucket_name
arn:aws:s3:::bucket_name/key_name
Note
Amazon S3 no requiere un número de cuenta ni una región en los ARN. Si especifica un ARN
para una política, también puede utilizar el carácter comodín “*” en la parte de ID relativo del ARN.
Ejemplos:
arn:aws:s3:::my_corporate_bucket
arn:aws:s3:::my_corporate_bucket/exampleobject.png
Version 1.0
99
Amazon Web Services Referencia general
Amazon Simple Workflow Service (Amazon SWF)
arn:aws:s3:::my_corporate_bucket/*
arn:aws:s3:::my_corporate_bucket/Development/*
Para obtener más información, consulte Specifying Resources in a Policy en la Guía para desarrolladores
de Amazon Simple Storage Service.
arn:aws:swf:region:account-id:/domain/domain_name
Ejemplos:
arn:aws:swf:us-east-1:123456789012:/domain/department1
arn:aws:swf:*:123456789012:/domain/*
arn:aws:states:region:account-id:activity:activityName
arn:aws:states:region:account-id:stateMachine:stateMachineName
arn:aws:states:region:account-id:execution:stateMachineName:executionName
Ejemplos:
arn:aws:states:us-east-1:123456789012:activity:HelloActivity
arn:aws:states:us-east-1:123456789012:stateMachine:HelloStateMachine
arn:aws:states:us-
east-1:123456789012:execution:HelloStateMachine:HelloStateMachineExecution
arn:aws:storagegateway:region:account-id:gateway/gateway-id
arn:aws:storagegateway:region:account-id:gateway/gateway-id/volume/volume-id
arn:aws:storagegateway:region:account-id:tape/tapebarcode
arn:aws:storagegateway:region:account-id:gateway/gateway-id/target/iSCSItarget
arn:aws:storagegateway:region:account-id:gateway/gateway-id/device/vtldevice
Ejemplos:
arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B
arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B/volume/vol-1122AABB
arn:aws:storagegateway:us-east-1:123456789012:tape/AMZNC8A26D
arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B/target/
iqn.1997-05.com.amazon:vol-1122AABB
arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B/device/AMZN_SGW-
FF22CCDD_TAPEDRIVE_00010
Note
Para cada recurso de AWS Storage Gateway, puede especificar un carácter comodín (*).
Version 1.0
100
Amazon Web Services Referencia general
AWS Trusted Advisor
arn:aws:trustedadvisor:*:account-id:checks/categorycode/checkid
Ejemplo:
arn:aws:trustedadvisor:*:123456789012:checks/fault_tolerance/BueAdJ7NrP
AWS WAF
Sintaxis:
arn:aws:waf::account-id:resource-type/resource-id
Ejemplos:
arn:aws:waf::123456789012:rule/41b5b052-1e4a-426b-8149-3595be6342c2
arn:aws:waf::123456789012:webacl/3bffd3ed-fa2e-445e-869f-a6a7cf153fd3
arn:aws:waf::123456789012:ipset/3f74bd8c-f046-4970-a1a7-41aa52e05480
arn:aws:waf::123456789012:bytematchset/d131bc0b-57be-4536-af1d-4894fd28acc4
arn:aws:waf::123456789012:sqlinjectionset/2be79d6f-2f41-4c9b-8192-d719676873f0
arn:aws:waf::123456789012:changetoken/03ba2197-fc98-4ac0-a67d-5b839762b16b
En algunos casos, las rutas pueden incluir un carácter comodín, es decir, un asterisco (*). Por ejemplo, si
va a escribir una política de IAM y en el Resource elemento desea especificar todos los usuarios de IAM
cuya ruta sea product_1234, puede utilizar un carácter comodín como se indica a continuación:
arn:aws:iam::123456789012:user/Development/product_1234/*
Del mismo modo, en el elemento Resource de una política de IAM, al final del ARN puede especificar
user/* para referirse a todos los usuarios o group/* para referirse a todos los grupos, como en los
siguientes ejemplos:
"Resource":"arn:aws:iam::123456789012:user/*"
"Resource":"arn:aws:iam::123456789012:group/*"
No puede utilizar un comodín para especificar a todos los usuarios en el elemento Principal de una
política basada en recursos ni en una política de confianza de rol. Los grupos no se admiten como
entidades principales en ninguna política.
En el siguiente ejemplo se muestran los ARN para un bucket de Amazon S3 en los que el nombre de
recurso incluye una ruta:
arn:aws:s3:::my_corporate_bucket/*
Version 1.0
101
Amazon Web Services Referencia general
Espacios de nombres de servicios de AWS
arn:aws:s3:::my_corporate_bucket/Development/*
No puede utilizar un comodín en la parte del ARN que especifica el tipo de recurso, como el término user
de un ARN de IAM.
arn:aws:iam::123456789012:u*
En el siguiente ejemplo se muestra una política de IAM en cuyos valores de los elementos Action y
de los elementos Resource y Condition se utilizan espacios de nombres para identificar los servicios
correspondientes a las acciones y los recursos.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": [
"arn:aws:ec2:us-west-2:123456789012:customer-gateway/*",
"arn:aws:ec2:us-west-2:123456789012:dhcp-options/*",
"arn:aws:ec2:us-west-2::image/*",
"arn:aws:ec2:us-west-2:123456789012:instance/*",
"arn:aws:iam::123456789012:instance-profile/*",
"arn:aws:ec2:us-west-2:123456789012:internet-gateway/*",
"arn:aws:ec2:us-west-2:123456789012:key-pair/*",
"arn:aws:ec2:us-west-2:123456789012:network-acl/*",
"arn:aws:ec2:us-west-2:123456789012:network-interface/*",
"arn:aws:ec2:us-west-2:123456789012:placement-group/*",
"arn:aws:ec2:us-west-2:123456789012:route-table/*",
"arn:aws:ec2:us-west-2:123456789012:security-group/*",
"arn:aws:ec2:us-west-2::snapshot/*",
"arn:aws:ec2:us-west-2:123456789012:subnet/*",
"arn:aws:ec2:us-west-2:123456789012:volume/*",
"arn:aws:ec2:us-west-2:123456789012:vpc/*",
"arn:aws:ec2:us-west-2:123456789012:vpc-peering-connection/*"
]
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::example_bucket/marketing/*"
},
{
"Effect": "Allow",
"Action": "s3:ListBucket*",
"Resource": "arn:aws:s3:::example_bucket",
"Condition": {"StringLike": {"s3:prefix": "marketing/*"}}
}
]
}
Version 1.0
102
Amazon Web Services Referencia general
Espacios de nombres de servicios de AWS
Version 1.0
103
Amazon Web Services Referencia general
Espacios de nombres de servicios de AWS
Version 1.0
104
Amazon Web Services Referencia general
Espacios de nombres de servicios de AWS
Version 1.0
105
Amazon Web Services Referencia general
¿Cuándo es preciso firmar las solicitudes?
Cuando se envían solicitudes HTTP a AWS, estas se firman para que AWS pueda identificar quién las
envía. Las solicitudes se firman con su clave de acceso de AWS, que se compone de un ID de clave de
acceso y una clave de acceso secreta. Algunas solicitudes no requieren firma; por ejemplo, las solicitudes
anónimas a Amazon Simple Storage Service (Amazon S3) y algunas operaciones de la API de AWS
Security Token Service (AWS STS), tales como AssumeRoleWithWebIdentity.
Note
Debe aprender a firmar solicitudes HTTP solo cuando las cree manualmente. Cuando se utiliza
AWS Command Line Interface (AWS CLI) o uno de los AWS SDK para realizar solicitudes a AWS,
estas herramientas firman automáticamente las solicitudes con la clave de acceso especificada
al configurar las herramientas. Si usa estas herramientas, no tiene que aprender a firmar las
solicitudes personalmente.
• Si trabaja con un lenguaje de programación para el que no hay un AWS SDK disponible.
• Si desea disponer de control total sobre el modo en que se envía una solicitud a AWS.
No es necesario firmar una solicitud cuando se usa AWS Command Line Interface (AWS CLI) o uno de los
AWS SDK. Estas herramientas administran los detalles de conexión, como el cálculo de firmas, el control
de reintentos de solicitud y el control de errores. En la mayoría de los casos, también contienen código de
muestra, tutoriales y otros recursos para ayudarle a empezar a escribir aplicaciones que interaccionan con
AWS.
Version 1.0
106
Amazon Web Services Referencia general
Firma de solicitudes
La firma permite asegurarse de que la solicitud la ha enviado alguien con una clave de acceso
válida. Para obtener más información, consulte Descripción y obtención de las credenciales de
seguridad (p. 71).
• Protección de los datos en tránsito
Para evitar que se altere una solicitud mientras están en tránsito, algunos de sus elementos se utilizan
para calcular un resumen (hash) de la solicitud y el valor hash resultante se incluye como parte de la
solicitud. Cuando un servicio de AWS recibe la solicitud, utiliza la misma información para calcular un
hash y lo compara con el valor hash contenido en su solicitud. Si los valores no coinciden, AWS deniega
la solicitud.
• Protección contra posibles ataques de reproducción
En la mayoría de los casos, una solicitud debe llegar a AWS en el plazo de cinco minutos a partir de la
marca de tiempo que figura en ella. De lo contrario, AWS deniega la solicitud.
Firma de solicitudes
Para firmar una solicitud, se calcula un resumen (hash) de la solicitud y, a continuación, se usa el valor
hash con otros valores de la solicitud y con la clave de acceso para crear un hash firmado; esto es la firma.
versiones de firmas
AWS admite dos versiones de firmas: Signature Version 4 y Signature Version 2. Debe utilizar Signature
Version 4. Todos los servicios de AWS admiten Signature Version 4, excepto Amazon SimpleDB, que
requiere Signature Version 2. Para los servicios de AWS que admiten ambas versiones, recomendamos
utilizar Signature Version 4.
Version 1.0
107
Amazon Web Services Referencia general
Proceso de firma Signature Version 4
Cuando se utiliza AWS Command Line Interface (AWS CLI) o uno de los AWS SDK para realizar
solicitudes a AWS, estas herramientas firman automáticamente las solicitudes con la clave
de acceso especificada al configurar las herramientas. Si usa estas herramientas, no tiene
que aprender a firmar las solicitudes personalmente. Sin embargo, si crear manualmente las
solicitudes HTTP a AWS, debe firmarlas personalmente.
Cuando AWS recibe la solicitud, lleva a cabo los mismos pasos realizados para calcular la firma. A
continuación, AWS compara la firma calculada con la que se ha enviado con la solicitud. Si las firmas
coinciden, la solicitud se procesa. Si las firmas no coinciden, la solicitud se deniega.
• Para comenzar con el proceso de firma, consulte Firma de solicitudes de AWS con Signature Version
4 (p. 109).
• Para ver solicitudes firmadas de muestra, consulte Ejemplos del proceso completo de firma con
Signature Version 4 (Python) (p. 125).
• Si tiene dudas sobre Signature Version 4, publique su pregunta en el foro de AWS Identity and Access
Management.
• Para firmar el mensaje, se utiliza una clave de firma generada a partir de la clave de acceso secreta, en
lugar de usar la propia clave de acceso secreta. Para obtener más información sobre la generación de
claves derivadas, consulte Tarea 3: Cálculo de la firma para AWS Signature Version 4 (p. 118).
• Puede obtener la clave de firma del ámbito de credenciales, lo que significa que no es necesario
incluir la clave en sí en la solicitud. El ámbito de credenciales se representa mediante una cadena de
dimensiones separadas por barras diagonales, en el orden que se indica a continuación:
1. La información de la fecha, mediante una cadena de ocho dígitos que representa el año (AAAA), el
mes (MM) y el día (DD) de la solicitud (por ejemplo, 20150830). Para obtener más información sobre el
control de fechas, consulte Control de fechas en Signature Version 4 (p. 122).
2. La información de la región, mediante una de caracteres alfanuméricos en minúscula. Utilice el
nombre de la región que forma parte del punto de conexión del servicio. En el caso de los servicios
con un punto de conexión único, como IAM, utilice us-east-1.
Version 1.0
108
Amazon Web Services Referencia general
Firma de solicitudes de AWS
3. La información del nombre del servicio, mediante una cadena de caracteres alfanuméricos en
minúscula (por ejemplo, iam). Utilice el nombre del servicio que forma parte del punto de conexión
del servicio. Por ejemplo, el punto de conexión de IAM es https://iam.amazonaws.com, de modo que
deberá usar la cadena iam como parte del parámetro Credential.
4. Una cadena de terminación especial: aws4_request.
• Se utiliza el ámbito de credenciales en cada tarea de firma:
• Si añade la información de firma a la cadena de consulta, incluya el ámbito de credenciales como
parte del parámetro X-Amz-Credential al crear la solicitud canónica en Tarea 1: Creación de una
solicitud canónica para Signature Version 4 (p. 111).
• Debe incluir el ámbito de credenciales como parte de su cadena para firmar en Tarea 2: Creación de
una cadena para firmar para Signature Version 4 (p. 117).
• Por último, se utilizan los componentes de fecha, región y nombre del servicio del ámbito de
credenciales para generar la clave de firma en Tarea 3: Cálculo de la firma para AWS Signature
Version 4 (p. 118).
Temas
• Aspecto de una firma en una solicitud (p. 109)
• Solicitudes GET y POST en la API de consulta (p. 110)
• Resumen de pasos de firma (p. 110)
• Tarea 1: Creación de una solicitud canónica para Signature Version 4 (p. 111)
• Tarea 2: Creación de una cadena para firmar para Signature Version 4 (p. 117)
• Tarea 3: Cálculo de la firma para AWS Signature Version 4 (p. 118)
• Tarea 4: Adición de la información de firma a la solicitud (p. 120)
Una vez completadas las tareas de firma, se añade la información de autenticación a la solicitud. Puede
añadir la información de autenticación de dos formas:
Encabezado Authorization
Version 1.0
109
Amazon Web Services Referencia general
Firma de solicitudes de AWS
En el siguiente ejemplo se muestra el aspecto que podría tener la solicitud anterior después de haber
creado la información de firma y habérsela añadido a la solicitud en el encabezado Authorization.
Tenga en cuenta que, en la solicitud real, el encabezado Authorization aparece como una línea de texto
continua. En el ejemplo siguiente, el formato se ha modificado para facilitar su legibilidad.
Cadena de consulta
En el siguiente ejemplo se muestra cómo podría construir una solicitud GET con la acción y la información
de autenticación de la cadena de consulta.
(En la solicitud real, la cadena de consulta aparecería en una línea de texto continua. En el ejemplo
siguiente se le ha modificado el formato con saltos de línea para facilitar su legibilidad.)
GET https://iam.amazonaws.com?Action=ListUsers&Version=2010-05-08
&X-Amz-Algorithm=AWS4-HMAC-SHA256
&X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fus-east-1%2Fiam%2Faws4_request
&X-Amz-Date=20150830T123600Z
&X-Amz-Expires=60
&X-Amz-SignedHeaders=content-type%3Bhost
&X-Amz-Signature=37ac2f4fde00b0ac9bd9eadeb459b1bbee224158d66e7ae5fcadb70b2d181d02 HTTP/1.1
content-type: application/x-www-form-urlencoded; charset=utf-8
host: iam.amazonaws.com
• Tarea 1: Creación de una solicitud canónica para Signature Version 4 (p. 111)
Version 1.0
110
Amazon Web Services Referencia general
Firma de solicitudes de AWS
Cree una cadena para firmar con la solicitud canónica e información adicional, como el algoritmo, la
fecha de la solicitud, el ámbito de credenciales y el resumen (hash) de la solicitud canónica.
• Tarea 3: Cálculo de la firma para AWS Signature Version 4 (p. 118)
Genere una clave de firma llevando a cabo una sucesión de operaciones hash con clave (operaciones
HMAC) en la fecha de la solicitud, la región y el servicio, con su clave de acceso secreta de AWS como
clave de la operación hash inicial. Una vez generada la clave de firma, se calcula la firma llevando a
cabo una operación hash con clave en la cadena para firmar. Utilice la clave de firma generada como
clave hash para esta operación.
• Tarea 4: Adición de la información de firma a la solicitud (p. 120)
Note
Los AWS SDK controlan el proceso de cálculo de firmas automáticamente, para que no tenga que
llevarlo a cabo manualmente. Para obtener más información, consulte Herramientas para Amazon
Web Services.
Los siguientes recursos adicionales ilustran diversos aspectos del proceso de firma:
• Ejemplos de cómo generar una clave de firma para Signature Version 4 (p. 122). Esta página muestra
cómo generar una clave de firma mediante Java, C#, Python, Ruby y JavaScript.
• Ejemplos del proceso completo de firma con Signature Version 4 (Python) (p. 125). Este conjunto de
programas en Python proporciona completos ejemplos del proceso de firma. En los ejemplos se ilustra
la firma con una solicitud POST, una solicitud GET que tiene la información de firma en un encabezado de
solicitud y una solicitud GET que tiene la información de firma en la cadena de consulta.
• Conjunto de pruebas de Signature Version 4 (p. 132). Este paquete descargable contiene una
colección de ejemplos que incluyen información de firma para los diversos pasos del proceso de firma.
Puede utilizar estos ejemplos para comprobar si su código de firma genera los resultados correctos en
cada paso del proceso.
Siga los pasos que se indican a continuación para crear una versión canónica de la solicitud. De lo
contrario, su versión y la versión calculada por AWS no coincidirán y la solicitud se denegará.
CanonicalRequest =
HTTPRequestMethod + '\n' +
Version 1.0
111
Amazon Web Services Referencia general
Firma de solicitudes de AWS
CanonicalURI + '\n' +
CanonicalQueryString + '\n' +
CanonicalHeaders + '\n' +
SignedHeaders + '\n' +
HexEncode(Hash(RequestPayload))
En este pseudocódigo, Hash representa una función que produce un resumen del mensaje, que suele
ser SHA-256. Más adelante en el proceso, se especifica qué algoritmo hash se utiliza. HexEncode
representa una función que devuelve la codificación en base 16 del resumen en minúsculas. Por ejemplo,
HexEncode("m") devuelve el valor 6d en lugar de 6D. Cada byte de entrada debe representarse mediante
exactamente dos caracteres hexadecimales.
Signature Version 4 no requiere el uso de una codificación de caracteres determinada para codificar la
solicitud canónica. Sin embargo, algunos servicios de AWS podrían necesitar una codificación específica.
Para obtener más información, consulte la documentación correspondiente a dicho servicio.
En los siguientes ejemplos se muestra cómo construir la forma canónica de una solicitud a IAM. La
solicitud original puede tener un aspecto como el siguiente al enviarla envían desde el cliente a AWS, salvo
que en este ejemplo no se incluye todavía la información de firma.
La solicitud del ejemplo anterior es una solicitud GET (método) que realiza una llamada de la API
ListUsers (acción) a AWS Identity and Access Management (host). Esta acción toma el parámetro
Version.
Para crear una solicitud canónica, concatene los siguientes componentes de cada paso en una
misma cadena:
1. Comience con el método de solicitud HTTP (GET, PUT, POST, etc.), seguido de un carácter de nueva
línea.
GET
2. Añada el parámetro de URI canónico, seguido de un carácter de nueva línea. El URI canónico es la
versión codificada según las normas de los URI del componente de ruta absoluta del URI, que es todo
lo que contiene el URI desde el host HTTP hasta el signo de interrogación (“?”), donde comienzan los
parámetros de la cadena de consulta (si los hay).
Normalice las rutas URI de conformidad con RFC 3986. Quite los componentes redundantes y
relativos de las rutas. Cada segmento de la ruta debe codificarse según las normas de los URI.
/documents%20and%20settings/
Note
La excepción son las rutas URI de las solicitudes a Amazon S3, que no se normalizan. Por
ejemplo, si tiene un bucket con un objeto denominado my-object//example//photo.user,
Version 1.0
112
Amazon Web Services Referencia general
Firma de solicitudes de AWS
Si la ruta absoluta está vacía, utilice una barra diagonal (/). En el ejemplo de solicitud a IAM, no hay
nada después del host en el URI, por lo que la ruta absoluta está vacía.
Action=ListUsers&Version=2010-05-08
Para construir la cadena de consulta canónica, siga los pasos que se describen a continuación:
a. Ordene los nombres de los parámetros en orden ascendente según el punto del código de
caracteres. Por ejemplo, un nombre de parámetro que comienza por la letra mayúscula F precede
a un nombre de parámetro que empieza por la letra minúscula b.
b. Codifique según las normas de los URI cada valor y nombre de parámetro, aplicando las reglas
siguientes:
• No codifique según las normas de los URI ninguno de los caracteres no reservados definidos
en la norma RFC 3986: A-Z, a-z, 0-9, guion (-), guion bajo (_), punto (. ) y tilde (~).
• Codifique con signos de porcentaje el resto de los caracteres con %XY, donde X e Y son
caracteres hexadecimales (0-9 y A-F mayúsculas). Por ejemplo, el carácter de espacio debe
codificarse como %20 (no mediante el signo “+” como en algunos esquemas de codificación) y
los caracteres extendidos UTF-8 deben indicarse con el formato %XY%ZA%BC.
c. Cree la cadena de consulta canónica empezando por el primer nombre de parámetro de la lista
ordenada.
d. Para cada parámetro, añada el nombre de parámetro codificado según las normas de los URI,
seguido por el signo igual (=) y, a continuación, del valor del parámetro codificado según las
normas de los URI. Utilice una cadena vacía para los parámetros que no tienen valor.
e. Añada el carácter ampersand (&) después de cada valor de parámetro, excepto para el último
valor de la lista.
Una opción para la API de consulta consiste en insertar en la cadena de consulta todos los parámetros
de la solicitud. Por ejemplo, puede hacerlo en Amazon S3 para crear una URL prefirmada. En ese
caso, la cadena de consulta canónica debe incluir no solo los parámetros de la solicitud, sino también
los parámetros que se utilizan en el proceso de firma: el algoritmo hash, el ámbito de credenciales, la
fecha y los parámetros de los encabezados firmados.
En el siguiente ejemplo se muestra una cadena de consulta que incluye información de autenticación.
Aunque el ejemplo incluye saltos de línea para facilitar su legibilidad, en el código la cadena de
consulta canónica debe ser una línea continua de texto.
Action=ListUsers&
Version=2010-05-08& Version 1.0
113
Amazon Web Services Referencia general
Firma de solicitudes de AWS
X-Amz-Algorithm=AWS4-HMAC-SHA256&
X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fus-east-1%2Fiam%2Faws4_request&
X-Amz-Date=20150830T123600Z&
X-Amz-SignedHeaders=content-type%3Bhost%3Bx-amz-date
Para obtener más información acerca de los parámetros de autenticación, consulte Tarea 2: Creación
de una cadena para firmar para Signature Version 4 (p. 117).
Note
Como mínimo, se debe incluir el encabezado host. Los encabezados estándar como content-type
son opcionales. Los distintos servicios pueden requerir otros encabezados.
content-type:application/x-www-form-urlencoded; charset=utf-8\n
host:iam.amazonaws.com\n
x-amz-date:20150830T123600Z\n
Para crear la lista de encabezados canónicos, convierta todos los nombres de encabezado a
minúsculas y elimine los espacios anteriores y posteriores. Convierta cada grupo de varios espacios
seguidos del valor del encabezado en un único espacio.
CanonicalHeaders =
CanonicalHeadersEntry0 + CanonicalHeadersEntry1 + ... + CanonicalHeadersEntryN
CanonicalHeadersEntry =
Lowercase(HeaderName) + ':' + Trimall(HeaderValue) + '\n'
Lowercase representa una función que convierte todos los caracteres a minúsculas. La función
Trimall elimina los espacios en blanco sobrantes que hay antes y después de los valores y convierte
cada grupo de varios espacios seguidos en un único espacio.
Cree la lista de encabezados canónicos ordenando los encabezados (en minúscula) según el código
de caracteres y, a continuación, recorriendo en iteración los nombres de encabezado. Cree cada
encabezado de acuerdo con las reglas siguientes:
En los siguientes ejemplos se compara un conjunto de encabezados más complejos con su forma
canónica:
Host:iam.amazonaws.com\n
Content-Type:application/x-www-form-urlencoded; charset=utf-8\n
My-header1: a b c \n
X-Amz-Date:20150830T123600Z\n
My-Header2: "a b c" \n
content-type:application/x-www-form-urlencoded; charset=utf-8\n
host:iam.amazonaws.com\n
my-header1:a b c\n
my-header2:"a b c"\n
x-amz-date:20150830T123600Z\n
Note
Cada encabezado va seguido de un carácter de nueva línea, lo que significa que la lista
completa termina con un carácter de nueva línea.
Note
El encabezado host debe incluirse necesariamente como encabezado firmado. Si incluye una fecha
o un encabezado x-amz-date, también debe incluir ese encabezado en la lista de encabezados
firmados.
los nombres de encabezado. En el siguiente pseudocódigo se describe cómo crear una lista de
encabezados firmados. Lowercase representa una función que convierte todos los caracteres a
minúsculas.
SignedHeaders =
Lowercase(HeaderName0) + ';' + Lowercase(HeaderName1) + ";" + ... +
Lowercase(HeaderNameN)
content-type;host;x-amz-date\n
6. Utilice un resumen (hash) como SHA256 para crear un valor hash de la carga en el cuerpo de la
solicitud HTTP o HTTPS. Signature Version 4 no requiere el uso de una codificación de caracteres
determinada para codificar el texto de la carga. Sin embargo, algunos servicios de AWS podrían
necesitar una codificación específica. Para obtener más información, consulte la documentación
correspondiente a dicho servicio.
HashedPayload = Lowercase(HexEncode(Hash(requestPayload)))
Al crear la cadena para firmar, debe especificar el algoritmo de firma que utilizó para resumir la carga.
Por ejemplo, si utilizó SHA256, debe especificar AWS4-HMAC-SHA256 como algoritmo de firma. La
carga resumida se debe representar como una cadena hexadecimal en minúsculas.
Si la carga está vacía, utilice una cadena vacía como entrada para la función hash. En el ejemplo de
IAM, la carga está vacía.
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
7. Para crear la solicitud canónica terminado, combine todos los componentes de cada paso en una
misma cadena. Tal y como se ha mencionado, cada componente finaliza con un carácter de nueva
línea. Si sigue el pseudocódigo de la solicitud canónica explicado anteriormente, la solicitud canónica
resultante es la que se muestra en el siguiente ejemplo.
GET
/
Action=ListUsers&Version=2010-05-08
content-type:application/x-www-form-urlencoded; charset=utf-8
host:iam.amazonaws.com
x-amz-date:20150830T123600Z
content-type;host;x-amz-date
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
8. Cree un resumen (hash) de la solicitud canónica con el mismo algoritmo que utilizó para resumir la
carga.
Version 1.0
116
Amazon Web Services Referencia general
Firma de solicitudes de AWS
Note
Signature Version 4 no requiere el uso de una codificación de caracteres determinada para
codificar la solicitud canónica antes de calcular el resumen. Sin embargo, algunos servicios
de AWS podrían necesitar una codificación específica. Para obtener más información,
consulte la documentación correspondiente a dicho servicio.
f536975d06c0309214f805bb90ccff089219ecd68b2577efef23edd43b7e1a59
La solicitud canónica resumida se incluye como parte de la cadena para firmar en Tarea 2: Creación
de una cadena para firmar para Signature Version 4 (p. 117).
Para crear la cadena para firmar, concatene el algoritmo, la fecha y la hora, el ámbito de credenciales y el
resumen de la solicitud canónica, tal y como se muestra en el siguiente pseudocódigo:
StringToSign =
Algorithm + \n +
RequestDateTime + \n +
CredentialScope + \n +
HashedCanonicalRequest
En el siguiente ejemplo se muestra cómo crear la cadena para firmar con la misma solicitud de la Tarea 1:
Creación de una solicitud canónica (p. 111).
1. Comience con la designación del algoritmo, seguida de un carácter de nueva línea. Este valor es el
algoritmo hash que se utiliza para calcular los resúmenes en la solicitud canónica. Para SHA256, el
algoritmo es AWS4-HMAC-SHA256.
AWS4-HMAC-SHA256\n
Version 1.0
117
Amazon Web Services Referencia general
Firma de solicitudes de AWS
2. Añada el valor de fecha de la solicitud, seguido de un carácter de nueva línea. La fecha se especifica
en el encabezado x-amz-date con el formato básico ISO8601: AAAAMMDD'T'HHMMSS'Z'. Este valor
debe coincidir con el valor que se haya utilizado en los pasos anteriores.
20150830T123600Z\n
3. Añada el valor del ámbito de credenciales, seguido de un carácter de nueva línea. Este valor es una
cadena que incluye la fecha, la región de destino, el servicio solicitado y una cadena de terminación
(“aws4_request”) en minúsculas. Las cadenas de región y nombre de servicio deben codificarse según
UTF-8.
20150830/us-east-1/iam/aws4_request\n
• La fecha debe tener el formato YYYYMMDD. Tenga en cuenta que la fecha no incluye un valor de hora.
• Compruebe que la región especificada sea la región a la que vaya a enviar la solicitud. Consulte
Regiones y puntos de conexión de AWS (p. 2).
4. Añada el hash de la solicitud canónica que creó en Tarea 1: Creación de una solicitud canónica para
Signature Version 4 (p. 111). Este valor no va seguido de un carácter de nueva línea. La solicitud
canónica resumida debe codificarse en base 16 y en minúsculas, tal y como se define en la Sección 8
de RFC 4648.
f536975d06c0309214f805bb90ccff089219ecd68b2577efef23edd43b7e1a59
La cadena para firmar siguiente es una solicitud a IAM del 30 de agosto de 2015.
AWS4-HMAC-SHA256
20150830T123600Z
20150830/us-east-1/iam/aws4_request
f536975d06c0309214f805bb90ccff089219ecd68b2577efef23edd43b7e1a59
Signature Version 4 no requiere el uso de una codificación de caracteres determinada para codificar la
cadena para firmar. Sin embargo, algunos servicios de AWS podrían necesitar una codificación específica.
Para obtener más información, consulte la documentación correspondiente a dicho servicio.
1. Genere la clave de firma. Para ello, utilice la clave de acceso secreta con el fin de crear una serie de
códigos de autenticación de mensajes basados en hash (HMAC). Esto se ilustra en el pseudocódigo
siguiente, donde HMAC(key, data) representa una función HMAC-SHA256 que devuelve un resultado
en formato binario. El resultado de cada función hash se convierte en información de entrada para la
siguiente.
Version 1.0
118
Amazon Web Services Referencia general
Firma de solicitudes de AWS
Tenga en cuenta que la fecha utilizada en el proceso de creación del resumen hash está en el formato
YYYYMMDD (por ejemplo, 20150830) y no incluye la hora.
Utilice el resumen (formato binario) para generar la clave. La mayoría de lenguajes presentan
funciones para calcular un hash en formato binario (que suele denominarse resumen) o un hash en
codificación hexadecimal (que se denomina resumen o hash hexadecimal). Para generar la clave es
preciso utilizar un resumen en formato binario.
En el siguiente ejemplo se muestran los datos de entrada para generar una clave de firma y el
resultado obtenido, donde kSecret = wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY.
En el ejemplo se utilizan los mismos parámetros de la solicitud de las tareas 1 y 2 (una solicitud a IAM
en la región us-east-1 el 30 de agosto de 2015).
HMAC(HMAC(HMAC(HMAC("AWS4" + kSecret,"20150830"),"us-east-1"),"iam"),"aws4_request")
c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9
Para obtener más información sobre cómo generar una clave de firma en diferentes lenguajes
de programación, consulte Ejemplos de cómo generar una clave de firma para Signature Version
4 (p. 122).
2. Calcule la firma. Para ello, utilice la clave de firma generada y la cadena para firmar como información
de entrada para la función hash con clave. Después de calcular la firma, convierta el valor binario en
una representación hexadecimal.
En el siguiente ejemplo se muestra la firma resultante si se utilizan las mismas clave de firma y cadena
para firmar de la tarea 2:
Ejemplo de firma
5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7
Version 1.0
119
Amazon Web Services Referencia general
Firma de solicitudes de AWS
Puede utilizar credenciales de seguridad temporales proporcionadas por AWS Security Token
Service (AWS STS) para firmar una solicitud. El proceso es el mismo que cuando se usan
credenciales a largo plazo, pero requiere un parámetro adicional de encabezado HTTP o de
cadena de consulta para el token de seguridad. El nombre del parámetro de encabezado o de
cadena de consulta es X-Amz-Security-Token y el valor es el token de sesión (la cadena que le
envió AWS STS al obtener las credenciales de seguridad temporales).
Cuando el parámetro X-Amz-Security-Token se añade a la cadena de consulta, algunos servicios
requieren que este se incluya en la solicitud canónica (firmada). Para otros servicios, el parámetro
se añade al final, después de calcular la firma. Para obtener más información, consulte la
documentación de referencia de la API correspondiente a dicho servicio.
Tenga en cuenta que, en la solicitud real, el encabezado Authorization aparece como una línea de texto
continua. En el ejemplo siguiente, el formato se ha modificado para facilitar su legibilidad.
Authorization: AWS4-HMAC-SHA256
Credential=AKIDEXAMPLE/20150830/us-east-1/iam/aws4_request,
SignedHeaders=content-type;host;x-amz-date,
Signature=5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7
• No hay ninguna coma entre el algoritmo y Credential. Sin embargo, SignedHeaders y Signature sí
están separados de los valores anteriores con una coma.
• El valor Credential valor comienza con el ID de clave de acceso, que va seguido por una barra diagonal
(/), tras la cual figura el ámbito de credenciales calculado en Tarea 2: Creación de una cadena para
firmar para Signature Version 4 (p. 117). La clave de acceso secreta se utiliza para generar la clave de
firma para la firma, pero no se incluye en la información de firma enviada en la solicitud.
Version 1.0
120
Amazon Web Services Referencia general
Firma de solicitudes de AWS
Si realiza una solicitud en la cual todos los parámetros están incluidos en la cadena de consulta,
la URL resultante representa una acción de AWS que ya está autenticada. Por lo tanto, esta
URL resultante debe tratarse con la misma precaución que aplica a sus auténticas credenciales.
Recomendamos especificar un plazo de caducidad breve para la solicitud mediante el parámetro
X-Amz-Expires.
Cuando se utiliza este enfoque, todos los valores de la cadena de consulta (excepto la firma) se incluyen
en la cadena de consulta canónica que forma parte de la consulta canónica creada en la primera parte del
proceso de firma (p. 111).
En el pseudocódigo siguiente se ilustra la creación de una cadena de consulta que contiene todos los
parámetros de solicitud.
querystring = Action=action
querystring += &X-Amz-Algorithm=algorithm
querystring += &X-Amz-Credential= urlencode(access_key_ID + '/' + credential_scope)
querystring += &X-Amz-Date=date
querystring += &X-Amz-Expires=timeout interval
querystring += &X-Amz-SignedHeaders=signed_headers
Una vez calculada la firma (usando el resto de los valores de cadena de consulta para dicho cálculo), se
añade la firma a la cadena de consulta mediante el parámetro X-Amz-Signature:
querystring += &X-Amz-Signature=signature
En el siguiente ejemplo se muestra el aspecto que podría tener la solicitud si todos los parámetros de
solicitud y la información de firma se incluyen en parámetros de cadena de consulta.
Tenga en cuenta que, en la solicitud real, el encabezado Authorization aparece como una línea de texto
continua. En el ejemplo siguiente, el formato se ha modificado para facilitar su legibilidad.
https://iam.amazonaws.com?Action=ListUsers&Version=2010-05-08
&X-Amz-Algorithm=AWS4-HMAC-SHA256
&X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fus-east-1%2Fiam%2Faws4_request
&X-Amz-Date=20150830T123600Z
&X-Amz-Expires=60
&X-Amz-SignedHeaders=content-type%3Bhost
&X-Amz-Signature=37ac2f4fde00b0ac9bd9eadeb459b1bbee224158d66e7ae5fcadb70b2d181d02
• Para calcular la firma, los parámetros de cadena de consulta deben colocarse en orden ascendente
según el punto del código de caracteres y sus valores se deben codificar según las normas de los URI.
Consulte el paso de creación de una cadena de consulta canónica en Tarea 1: Creación de una solicitud
canónica para Signature Version 4 (p. 111).
• Especifique el intervalo de tiempo de espera (X-Amz-Expires) en el mínimo tiempo viable para la
operación solicitada.
Version 1.0
121
Amazon Web Services Referencia general
Control de fechas
La marca de tiempo debe estar en UTC y en el formato ISO 8601 siguiente: AAAAMMDD'T'HHMMSS'Z'.
Por ejemplo, 20150830T123600Z es una marca de tiempo válida. No incluya milisegundos en la marca de
tiempo.
AWS comprueba primero el encabezado o parámetro x-amz-date por si contienen una marca de
tiempo. Si AWS no encuentra un valor de x-amz-date, busca el encabezado date. A continuación, AWS
comprueba el ámbito de credenciales por si contiene una cadena de ocho dígitos que represente el año
(AAAA), el mes (MM) y el día (DD) de la solicitud. Por ejemplo, si el valor del encabezado x-amz-date es
20111015T080000Z y el componente de fecha del ámbito de credenciales es 20111015, AWS permite que el
proceso de autenticación continúe.
Si las fechas no coinciden, AWS rechaza la solicitud, aunque la marca de tiempo solo se diferencie por
unos segundos de la fecha del ámbito de credenciales. Por ejemplo, AWS rechazará una solicitud cuyo
valor del encabezado x-amz-date sea 20151014T235959Z y cuyo ámbito de credenciales contenga la fecha
20151015.
Si utiliza uno de los AWS SDK (incluidos los de SDK para Java, .NET, Python, Ruby o
JavaScript), no tiene que realizar manualmente los pasos para generar una clave de
firma y añadir la información de autenticación a una solicitud. Los SDK realizan esta labor
automáticamente. Solo deberá firmar manualmente las solicitudes si realiza las solicitudes HTTP
o HTTPS directamente.
Temas
• Generación de la clave de firma con Java (p. 122)
• Generación de la clave de firma con .NET (C#) (p. 123)
• Generación de la clave de firma con Python (p. 123)
• Generación de la clave de firma con Ruby (p. 123)
• Generación de la clave de firma con JavaScript (p. 124)
• Generación de la clave de firma con otros lenguajes (p. 124)
• Errores de codificación comunes (p. 124)
Version 1.0
122
Amazon Web Services Referencia general
Ejemplos de cómo generar una clave de firma
return kha.ComputeHash(Encoding.UTF8.GetBytes(data));
}
return kSigning;
}
kSigning
end
Version 1.0
123
Amazon Web Services Referencia general
Ejemplos de cómo generar una clave de firma
key = 'wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY'
dateStamp = '20120215'
regionName = 'us-east-1'
serviceName = 'iam'
El programa debería generar los siguientes valores para los valores de getSignatureKey. Tenga en cuenta
que se trata de representaciones en codificación hexadecimal de los datos binarios; la clave en sí y los
valores intermedios deben estar en formato binario.
kSecret =
'41575334774a616c725855746e46454d492f4b374d44454e472b62507852666943594558414d504c454b4559'
kDate = '969fbb94feb542b71ede6f87fe4d5fa29c789342b0f407474670f0c2489e0a0d'
kRegion = '69daa0209cd9c5ff5c8ced464a696fd4252e981430b10e3d3fd8e2f197d7a70c'
kService = 'f72cfd46f26bc4643f06a11eabb6c0ba18780c19a8da0c31ace671265e3c87fa'
kSigning = 'f4780e2d9f65fa895f9c67b32ce1baf0b0d8a43505a000a1a9e090d414db404d'
Examine la solicitud HTTP que va a enviar a AWS con una herramienta que le muestre el aspecto
de las solicitudes HTTP sin procesar. Esto puede ayudarle a identificar problemas que no resulten
evidentes en el código.
Version 1.0
124
Amazon Web Services Referencia general
Ejemplos de firma (Python)
Para obtener más información acerca de posibles errores, consulte Solución de errores en AWS Signature
Version 4 (p. 134).
• Python 2.x instalado en el equipo; puede obtenerlo en el sitio de Python. Estos programas se han
probado con Python 2.7.
• La biblioteca requests de Python, que se utiliza en el script de ejemplo para realizar solicitudes web.
Una forma cómoda de instalar paquetes de Python es utilizar pip, que obtiene los paquetes del sitio web
Python Package Index. A continuación, puede instalar requests ejecutando pip install requests en
la línea de comandos.
• Una clave de acceso (ID de clave de acceso y clave de acceso secreta) en las variables de entorno
denominadas AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY. Si lo prefiere, puede conservar estos
valores en un archivo de credenciales y leerlos a partir de ese archivo. Como práctica recomendada,
es conveniente que no incluya las credenciales en el código. Para obtener más información, consulte
Prácticas recomendadas para administrar las claves de acceso de AWS en la Referencia general de
Amazon Web Services.
Note
En los siguientes ejemplos se utiliza UTF-8 para codificar la solicitud canónica y la cadena para
firmar, pero Signature Version 4 no requiere que se use codificación de caracteres determinada.
Sin embargo, algunos servicios de AWS podrían necesitar una codificación específica. Para
obtener más información, consulte la documentación correspondiente a dicho servicio.
Temas
• Uso de GET con un encabezado Authorization (Python) (p. 126)
• Uso de POST (Python) (p. 128)
• Uso de GET con la información de autenticación en la cadena de consulta (Python) (p. 130)
Version 1.0
125
Amazon Web Services Referencia general
Ejemplos de firma (Python)
# See: http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html
# This version makes a GET request and passes the signature
# in the Authorization header.
import sys, os, base64, datetime, hashlib, hmac
import requests # pip install requests
# Read AWS access key from env. variables or configuration file. Best practice is NOT
# to embed credentials in code.
access_key = os.environ.get('AWS_ACCESS_KEY_ID')
secret_key = os.environ.get('AWS_SECRET_ACCESS_KEY')
if access_key is None or secret_key is None:
print 'No access key is available.'
sys.exit()
# Step 2: Create canonical URI--the part of the URI from domain to query
# string (use '/' if no path)
canonical_uri = '/'
# Step 3: Create the canonical query string. In this example (a GET request),
# request parameters are in the query string. Query string values must
# be URL-encoded (space=%20). The parameters must be sorted by name.
# For this example, the query string is pre-formatted in the request_parameters variable.
Version 1.0
126
Amazon Web Services Referencia general
Ejemplos de firma (Python)
canonical_querystring = request_parameters
# Step 4: Create the canonical headers and signed headers. Header names
# must be trimmed and lowercase, and sorted in code point order from
# low to high. Note that there is a trailing \n.
canonical_headers = 'host:' + host + '\n' + 'x-amz-date:' + amzdate + '\n'
# Step 5: Create the list of signed headers. This lists the headers
# in the canonical_headers list, delimited with ";" and in alpha order.
# Note: The request can include any headers; canonical_headers and
# signed_headers lists those that you want to be included in the
# hash of the request. "Host" and "x-amz-date" are always required.
signed_headers = 'host;x-amz-date'
# Step 6: Create payload hash (hash of the request body content). For GET
# requests, the payload is an empty string ("").
payload_hash = hashlib.sha256('').hexdigest()
# The request can include any headers, but MUST include "host", "x-amz-date",
# and (for this scenario) "Authorization". "host" and "x-amz-date" must
# be included in the canonical_headers and signed_headers, as noted
# earlier. Order here is not significant.
# Python note: The 'host' header is added automatically by the Python 'requests' library.
headers = {'x-amz-date':amzdate, 'Authorization':authorization_header}
print '\nRESPONSE++++++++++++++++++++++++++++++++++++'
print 'Response code: %d\n' % r.status_code
Version 1.0
127
Amazon Web Services Referencia general
Ejemplos de firma (Python)
print r.text
# See: http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html
# This version makes a POST request and passes request parameters
# in the body (payload) of the request. Auth information is passed in
# an Authorization header.
import sys, os, base64, datetime, hashlib, hmac
import requests # pip install requests
# Read AWS access key from env. variables or configuration file. Best practice is NOT
# to embed credentials in code.
access_key = os.environ.get('AWS_ACCESS_KEY_ID')
secret_key = os.environ.get('AWS_SECRET_ACCESS_KEY')
if access_key is None or secret_key is None:
print 'No access key is available.'
sys.exit()
Version 1.0
128
Amazon Web Services Referencia general
Ejemplos de firma (Python)
amz_date = t.strftime('%Y%m%dT%H%M%SZ')
date_stamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope
# Step 2: Create canonical URI--the part of the URI from domain to query
# string (use '/' if no path)
canonical_uri = '/'
# Step 5: Create the list of signed headers. This lists the headers
# in the canonical_headers list, delimited with ";" and in alpha order.
# Note: The request can include any headers; canonical_headers and
# signed_headers include those that you want to be included in the
# hash of the request. "Host" and "x-amz-date" are always required.
# For DynamoDB, content-type and x-amz-target are also required.
signed_headers = 'content-type;host;x-amz-date;x-amz-target'
# For DynamoDB, the request can include any headers, but MUST include "host", "x-amz-date",
Version 1.0
129
Amazon Web Services Referencia general
Ejemplos de firma (Python)
print '\nRESPONSE++++++++++++++++++++++++++++++++++++'
print 'Response code: %d\n' % r.status_code
print r.text
# See: http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html
# This version makes a GET request and passes request parameters
# and authorization information in the query string
import sys, os, base64, datetime, hashlib, hmac, urllib
import requests # pip install requests
# Read AWS access key from env. variables or configuration file. Best practice is NOT
# to embed credentials in code.
access_key = os.environ.get('AWS_ACCESS_KEY_ID')
secret_key = os.environ.get('AWS_SECRET_ACCESS_KEY')
if access_key is None or secret_key is None:
Version 1.0
130
Amazon Web Services Referencia general
Ejemplos de firma (Python)
# Step 2: Create canonical URI--the part of the URI from domain to query
# string (use '/' if no path)
canonical_uri = '/'
# Step 3: Create the canonical headers and signed headers. Header names
# must be trimmed and lowercase, and sorted in code point order from
# low to high. Note trailing \n in canonical_headers.
# signed_headers is the list of headers that are being included
# as part of the signing process. For requests that use query strings,
# only "host" is included in the signed headers.
canonical_headers = 'host:' + host + '\n'
signed_headers = 'host'
# Match the algorithm to the hashing algorithm you use, either SHA-1 or
# SHA-256 (recommended)
algorithm = 'AWS4-HMAC-SHA256'
credential_scope = datestamp + '/' + region + '/' + service + '/' + 'aws4_request'
Version 1.0
131
Amazon Web Services Referencia general
Conjunto de pruebas
print '\nRESPONSE++++++++++++++++++++++++++++++++++++'
print 'Response code: %d\n' % r.status_code
print r.text
Temas
• Ámbito de credenciales y clave secreta (p. 132)
• Ejemplo: solicitud GET sencilla con parámetros (p. 133)
Cada grupo de pruebas contiene cinco archivos que puede utilizar para validar cada una de las tareas
descritas en Proceso de firma Signature Version 4 (p. 108). En la siguiente lista se describe el contenido
de cada archivo.
AKIDEXAMPLE/20150830/us-east-1/service/aws4_request
wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY
Version 1.0
132
Amazon Web Services Referencia general
Conjunto de pruebas
GET
/
Param1=value1&Param2=value2
host:example.amazonaws.com
x-amz-date:20150830T123600Z
host;x-amz-date
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
Notas
816cd5b414d056048ba4f7c5386d6e0533120fb1fcfa93762cf0fc39e2cf19e0
En los pasos descritos en Tarea 2: Creación de una cadena para firmar para Signature Version
4 (p. 117), añada el algoritmo, la fecha de solicitud, el ámbito de credenciales y el hash de la solicitud
canónica con el fin de crear la cadena para firmar.
AWS4-HMAC-SHA256
20150830T123600Z
20150830/us-east-1/service/aws4_request
816cd5b414d056048ba4f7c5386d6e0533120fb1fcfa93762cf0fc39e2cf19e0
Notas
Version 1.0
133
Amazon Web Services Referencia general
Solución de problemas
• La fecha de la segunda coincide con el encabezado x-amz-date, así como con el primer elemento del
ámbito de credenciales.
• La última línea es el valor codificado en hexadecimal para el hash de la solicitud canónica.
AWS4-HMAC-SHA256 Credential=AKIDEXAMPLE/20150830/us-east-1/
service/aws4_request, SignedHeaders=host;x-amz-date,
Signature=b97d918cfa904a5beff61c982a1b6f458b799221646efd99d3219ec94cdf2500
Al desarrollar código que implementa Signature Version 4, es posible que reciba errores de los productos
de AWS en los que efectúe las pruebas. Los errores suelen proceder de un error al canonizar la solicitud,
de una generación o uso incorrectos de la clave de firma, o de un error de validación de los parámetros
específicos de la firma que se envían junto con la solicitud.
https://iam.amazonaws.com/?MaxItems=100
&Action=ListGroupsForUser
&UserName=Test
Version 1.0
134
Amazon Web Services Referencia general
Solución de problemas
&Version=2010-05-08
&X-Amz-Date=20120223T063000Z
&X-Amz-Algorithm=AWS4-HMAC-SHA256
&X-Amz-Credential=AKIAIOSFODNN7EXAMPLE/20120223/us-east-1/iam/aws4_request
&X-Amz-SignedHeaders=host
&X-Amz-Signature=<calculated value>
Si se calcula incorrectamente la solicitud canónica o la cadena para firmar, se produce un error en el paso
de comprobación de firma que realiza el servicio. En el siguiente ejemplo se muestra una respuesta de
error típica, que incluye la cadena canónica y la cadena para firmar calculadas por el servicio. Puede
solucionar el error de cálculo comparando las cadenas devueltas con la cadena canónica y la cadena para
firmar calculada.
<ErrorResponse xmlns="https://iam.amazonaws.com/doc/2010-05-08/">
<Error>
<Type>Sender</Type>
<Code>SignatureDoesNotMatch</Code>
<Message>The request signature we calculated does not match the signature you provided.
Check your AWS Secret Access Key and signing method. Consult the service documentation for
details.
The canonical string for this request should have been 'GET /
Action=ListGroupsForUser&MaxItems=100&UserName=Test&Version=2010-05-08&X-Amz-
Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential
=AKIAIOSFODNN7EXAMPLE%2F20120223%2Fus-east-1%2Fiam%2Faws4_request&X-Amz-
Date=20120223T063000Z&X-Amz-SignedHeaders=host
host:iam.amazonaws.com
host
<hashed-value>'
Cuando realice pruebas con un SDK, recomendamos solucionar los problemas comprobando cada paso
de generación respecto a los valores conocidos. Para obtener más información, consulte Conjunto de
pruebas de Signature Version 4 (p. 132).
Credential=AKIAIOSFODNN7EXAMPLE/20120224/us-east-1/rds/aws4_request
Si utiliza las mismas credenciales para enviar una solicitud de IAM, recibirá la siguiente respuesta de error:
<ErrorResponse xmlns="https://iam.amazonaws.com/doc/2010-05-08/">
<Error>
<Type>Sender</Type>
Version 1.0
135
Amazon Web Services Referencia general
Solución de problemas
<Code>SignatureDoesNotMatch</Code>
<Message>Credential should be scoped to correct service: 'iam'. </Message>
</Error>
<RequestId>aa0da9de-5f2b-11e1-a2c0-c1dc98b6c575</RequestId>
La credencial debe especificar también la región correcta. Por ejemplo, la credencial siguiente para una
solicitud de IAM especifica de forma incorrecta la región EE.UU. Oeste (Norte de California).
Credential=AKIAIOSFODNN7EXAMPLE/20120224/us-west-1/iam/aws4_request
Si utiliza la credencial para enviar una solicitud a IAM, que únicamente acepta la especificación de región
us-east-1, recibirá la siguiente respuesta:
<ErrorResponse xmlns="https://iam.amazonaws.com/doc/2010-05-08/">
<Error>
<Type>Sender</Type>
<Code>SignatureDoesNotMatch</Code>
<Message>Credential should be scoped to a valid region, not 'us-east-1'. </Message>
</Error>
<RequestId>8e229682-5f27-11e1-88f2-4b1b00f424ae</RequestId>
</ErrorResponse>
Recibirá el mismo tipo de respuesta de región no válida de los productos de AWS que están disponibles
en varias regiones si envía solicitudes a una región distinta de aquella que se especifica en su ámbito de
credenciales.
La credencial debe especificar también la región correcta para el servicio y la acción de su solicitud.
La fecha que se utiliza como parte de la credencial debe coincidir con el valor de fecha del encabezado
x-amz-date. Por ejemplo, el siguiente valor del encabezado x-amz-date no coincide con el valor de fecha
utilizado en el parámetro Credential que aparece a continuación.
x-amz-date:"20120224T213559Z"
Credential=AKIAIOSFODNN7EXAMPLE/20120225/us-east-1/iam/aws4_request
Si utiliza este binomio de encabezado x-amz-date y credencial, recibirá la siguiente respuesta de error:
<ErrorResponse xmlns="https://iam.amazonaws.com/doc/2010-05-08/">
<Error>
<Type>Sender</Type>
<Code>SignatureDoesNotMatch</Code>
<Message>Date in Credential scope does not match YYYYMMDD from ISO-8601 version of date
from HTTP: '20120225' != '20120224', from '20120 224T213559Z'.</Message>
</Error>
<RequestId>9d6ddd2b-5f2f-11e1-b901-a702cd369eb8</RequestId>
</ErrorResponse>
Una firma que ha caducado también puede generar una respuesta de error. Por ejemplo, la siguiente
respuesta de error se generó a causa de una firma caducada.
<ErrorResponse xmlns="https://iam.amazonaws.com/doc/2010-05-08/">
<Error>
<Type>Sender</Type>
<Code>SignatureDoesNotMatch</Code>
<Message>Signature expired: 20120306T074514Z is now earlier than 20120306T074556Z
(20120306T080056Z - 15 min.)</Message>
</Error>
<RequestId>fcc88440-5dec-11e1-b901-a702cd369eb8</RequestId>
Version 1.0
136
Amazon Web Services Referencia general
Referencia específica del servicio
</ErrorResponse>
Para comprobar si la clave secreta coincide con el ID de clave de acceso, puede utilizar su clave de
acceso e ID de clave de acceso con una implementación que ya ha comprobado que funciona. Una forma
consiste en utilizar uno de los AWS SDK para escribir un programa que realice una solicitud simple a AWS
utilizando el ID de clave de acceso y la clave de acceso secreta que desea utilizar.
Para comprobar si el código de generación de clave es correcto, puede compararlo con nuestro ejemplo
de código de generación. Para obtener más información, consulte Ejemplos de cómo generar una clave de
firma para Signature Version 4 (p. 122).
Version 1.0
137
Amazon Web Services Referencia general
Regiones y servicios admitidos
Los siguientes servicios admiten Signature Version 2 en todas las demás regiones.
Amazon Relational Database Service Amazon Relational Database Service API Reference
(Amazon RDS
Amazon Simple Notification Service (Amazon Amazon Simple Notification Service API Reference
SNS)
Amazon Simple Queue Service (Amazon Amazon Simple Queue Service API Reference
SQS)
Version 1.0
138
Amazon Web Services Referencia general
Componentes de una solicitud de
consulta para Signature Version 2
Punto de conexión
También se denomina la parte host de la solicitud HTTP. Se trata del nombre de DNS del equipo en el
que se envía la solicitud de consulta. Es diferente para cada región de AWS. Para obtener la lista de
puntos de conexión de cada servicio, consulte Regiones y puntos de conexión de AWS (p. 2).
Action
Acción que desea que el servicio web lleve a cabo. Este valor determina los parámetros que se utilizan
en la solicitud.
AWSAccessKeyId
Protocolo basado en hash que se utiliza para calcular la firma. Puede ser HMAC-SHA1 o HMAC-
SHA256 para Signature Version 2.
SignatureVersion
Momento en el que se realiza la solicitud. Debe incluirlo en la solicitud de consulta para ayudar a
impedir que terceros intercepten su solicitud.
Parámetros obligatorios y opcionales
Cada acción tiene un conjunto de parámetros obligatorios y opcionales que definen la llamada de API.
Signature
A continuación se muestra un ejemplo de solicitud de consulta de Amazon EMR formateada como solicitud
GET HTTPS.
Note
https://elasticmapreduce.amazonaws.com?
&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
&Action=DescribeJobFlows
&SignatureMethod=HmacSHA256
&SignatureVersion=2
&Timestamp=2011-10-03T15%3A19%3A30
&Version=2009-03-31
&Signature=calculated value
Version 1.0
139
Amazon Web Services Referencia general
Cómo generar una versión de firma Signature
Version 2 para una solicitud de consulta
Asegúrese de codificar la solicitud según las normas de los URI. Por ejemplo, los espacios en
blanco de la solicitud deben codificarse como %20. Aunque la especificación del protocolo HTTP
suele permitir un espacio en blanco sin codificar, los caracteres sin codificar crean una firma no
válida en la solicitud de consulta. No codifique los espacios como un signo más (+), ya que esto
provocará errores.
En los siguientes temas se describen los pasos necesarios para calcular una firma utilizando AWS
Signature Version 2.
Para crear la cadena para firmar, concatene los componentes de la solicitud de consulta. En el siguiente
ejemplo se genera la cadena para firmar correspondiente a la siguiente llamada a la API de Amazon EMR.
https://elasticmapreduce.amazonaws.com?
Action=DescribeJobFlows
&Version=2009-03-31
&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
&SignatureVersion=2
&SignatureMethod=HmacSHA256
&Timestamp=2011-10-03T15:19:30
Note
1. Comience con el método de solicitud (GET o POST), seguido de un carácter de nueva línea. Para
facilitar su legibilidad, el carácter de nueva se ha representado como \n.
GET\n
Version 1.0
140
Amazon Web Services Referencia general
Cómo generar una versión de firma Signature
Version 2 para una solicitud de consulta
elasticmapreduce.amazonaws.com\n
3. Añada la versión codificada según las normas de las URL de cada segmento de la ruta del URI, que
es todo aquello que figura entre el encabezado de host de HTTP y el signo de interrogación (?) en el
que comienzan los parámetros de la cadena de consulta, seguido de un carácter de nueva línea. No
codifique la barra diagonal (/) que delimita cada segmento de la ruta.
En este ejemplo, si la ruta absoluta está vacía, utilice una barra diagonal (/).
/\n
4. a. Añada los componentes de la cadena de consulta como caracteres UTF-8 codificados según
las normas de las URL (los caracteres hexadecimales deben ir en mayúsculas). El signo de
interrogación (?) inicial no se codifica en la solicitud. Para obtener más información, consulte RFC
3986.
b. Ordene los componentes de la cadena de consulta por orden de bytes. Este tipo de ordenación
distingue entre mayúsculas y minúsculas. AWS ordena estos componentes en función de los
bytes sin procesar.
Action=DescribeJobFlows
Version=2009-03-31
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
SignatureVersion=2
SignatureMethod=HmacSHA256
Timestamp=2011-10-03T15%3A19%3A30
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
Action=DescribeJobFlows
SignatureMethod=HmacSHA256
SignatureVersion=2
Timestamp=2011-10-03T15%3A19%3A30
Version=2009-03-31
c. Separe los nombres de parámetros de sus valores con el signo igual (=), aunque el valor esté
vacío. Separe los pares de parámetro-valor con el carácter ampersand (&). Concatene los
parámetros y sus valores para crear una cadena larga sin espacios. Se permiten espacios en
el valor de un parámetro, pero deben codificarse según las normas de las URL como %20. En
la cadena concatenada, el carácter de punto (.) no requieren un carácter de escape. RFC 3986
considera que el punto es un carácter no reservado, de modo que no se codifica según las
normas de las URL.
Note
RFC 3986 no especifica lo que ocurre con los caracteres de control ASCII, los caracteres
UTF-8 extendidos u otros caracteres reservados por RFC 1738. Habida cuenta de
que los valores pueden pasarse en un valor de cadena, estos otros caracteres deben
codificarse mediante un signo de porcentaje como %XY, donde X e Y son caracteres
hexadecimales en mayúscula. Los caracteres UTF-8 extendidos adoptan la forma %XY
%ZA... (de este modo se administran también los caracteres multibyte).
En el siguiente ejemplo se muestran los componentes de una cadena de consulta, con los parámetros
concatenados mediante el signo ampersand (&) y ordenados por orden de bytes.
Version 1.0
141
Amazon Web Services Referencia general
Cómo generar una versión de firma Signature
Version 2 para una solicitud de consulta
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVer
5. Para construir la solicitud canónica terminada, combine todos los componentes de cada paso. Tal y
como se indica, cada componente finaliza con un carácter de nueva línea.
GET\n
elasticmapreduce.amazonaws.com\n
/\n
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVer
En este ejemplo, la firma se calcula con la siguiente cadena canónica y clave secreta como entradas para
una función hash con clave:
GET\n
elasticmapreduce.amazonaws.com\n
/\n
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersi
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
i91nKc4PWAt0JJIdXwz9HxZCJDdiy6cf%2FMj6vPxyYIs%3D
Añada el valor resultante a la solicitud de consulta como parámetro Signature. Cuando se añade este
parámetro a la solicitud, se debe codificar según las normas de los URI igual que cualquier otro parámetro.
Puede utilizar la solicitud firmada en una llamada HTTP o HTTPS.
https://elasticmapreduce.amazonaws.com?
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersion
%2FMj6vPxyYIs%3D
Note
Puede utilizar credenciales de seguridad temporales proporcionadas por AWS Security Token
Service (AWS STS) para firmar una solicitud. El proceso es el mismo que con las credenciales a
largo plazo, pero las solicitudes requieren un parámetro adicional para el token de seguridad.
Version 1.0
142
Amazon Web Services Referencia general
Cómo generar una versión de firma Signature
Version 2 para una solicitud de consulta
https://sdb.amazonaws.com/
?Action=GetAttributes
&AWSAccessKeyId=access-key-from-AWS Security Token Service
&DomainName=MyDomain
&ItemName=MyItem
&SignatureVersion=2
&SignatureMethod=HmacSHA256
&Timestamp=2010-01-25T15%3A03%3A07-07%3A00
&Version=2009-04-15
&Signature=signature-calculated-using-the-temporary-access-key
&SecurityToken=session-token
• En la Amazon EMR Developer Guide Amazon EMR encontrará información acerca de las llamadas de
API.
• La documentación de API de cada servicio contiene información acerca de los requisitos y parámetros
específicos para una acción.
• Los AWS SDK ofrecen funciones para generar firmas de solicitudes de consulta. Para ver un
ejemplo con el AWS SDK para Java, consulte Uso del SDK para Java para firmar una solicitud de
consulta (p. 144).
<ErrorResponse xmlns="http://elasticmapreduce.amazonaws.com/doc/2009-03-31">
<Error>
<Type>Sender</Type>
<Code>SignatureDoesNotMatch</Code>
<Message>The request signature we calculated does not match the signature you
provided.
Check your AWS Secret Access Key and signing method.
Consult the service documentation for details.</Message>
</Error>
<RequestId>7589637b-e4b0-11e0-95d9-639f87241c66</RequestId>
</ErrorResponse>
Version 1.0
143
Amazon Web Services Referencia general
Cómo generar una versión de firma Signature
Version 2 para una solicitud de consulta
<ErrorResponse xmlns="http://elasticmapreduce.amazonaws.com/doc/2009-03-31">
<Error>
<Type>Sender</Type>
<Code>IncompleteSignature</Code>
<Message>Request must contain a signature that conforms to AWS standards</Message>
</Error>
<RequestId>7146d0dd-e48e-11e0-a276-bd10ea0cbb74</RequestId>
</ErrorResponse>
Uso del SDK para Java para firmar una solicitud de consulta
En el siguiente ejemplo se utiliza el paquete amazon.webservices.common de AWS SDK para Java para
generar la firma de una solicitud de consulta con AWS Signature Version 2. Para hacerlo, crea una firma
HMAC conforme con RFC 2104. Para obtener más información acerca de HMAC, consulte HMAC: Keyed-
Hashing for Message Authentication.
Note
Java se utiliza como ejemplo de implementación. Puede utilizar el lenguaje de programación que
prefiera para implementar el algoritmo HMAC con el fin de firmar solicitudes de consulta.
import java.security.SignatureException;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import com.amazonaws.util.*;
/**
* This class defines common routines for generating
* authentication signatures for AWS Platform requests.
*/
public class Signature {
private static final String HMAC_SHA256_ALGORITHM = "HmacSHA256";
/**
* Computes RFC 2104-compliant HMAC signature.
* * @param data
* The signed data.
* @param key
* The signing key.
* @return
* The Base64-encoded RFC 2104-compliant HMAC signature.
* @throws
* java.security.SignatureException when signature generation fails
*/
public static String calculateRFC2104HMAC(String data, String key)
throws java.security.SignatureException
{
String result;
try {
// Get an hmac_sha256 Mac instance and initialize with the signing key.
Mac mac = Mac.getInstance(HMAC_SHA256_ALGORITHM);
mac.init(signingKey);
Version 1.0
144
Amazon Web Services Referencia general
Cómo generar una versión de firma Signature
Version 2 para una solicitud de consulta
} catch (Exception e) {
throw new SignatureException("Failed to generate HMAC : " + e.getMessage());
}
return result;
}
}
Version 1.0
145
Amazon Web Services Referencia general
En las tablas siguientes se proporcionan los límites predeterminados de los servicios de AWS para
una cuenta de AWS. A menos que se indique otra cosa, cada límite es específico de la región. Muchos
servicios contienen límites que no puede modificarse. Para obtener más información acerca de los límites
de un servicio específico, consulte la documentación correspondiente a dicho servicio.
Si su plan de soporte incluye Trusted Advisor, puede utilizarlo para mostrar el uso y los límites de cada
servicio de una región determinada. Para obtener más información, consulte Trusted Advisor.
Puede realizar los pasos siguientes para solicitar un aumento de los límites. Estos aumentos no se
conceden de inmediato, de modo que podrían tardar unos días en hacerse efectivos.
1. Abra la página Centro de AWS Support, inicie sesión si es preciso y, a continuación, elija Create Case.
2. En Regarding, elija Service Limit Increase.
3. En Limit Type, seleccione el tipo de límite que desee aumentar, rellene los campos necesarios del
formulario y, a continuación, elija el método de contacto que prefiera.
Límites predeterminados
• Límites de Amazon API Gateway (p. 148)
• Límites de AWS Application Discovery Service (p. 149)
• Límites de Amazon AppStream (p. 149)
• Límites de Amazon AppStream 2.0 (p. 149)
• Límites de Application Auto Scaling (p. 150)
• Límites de Amazon Athena (p. 150)
• Límites de Auto Scaling (p. 150)
• Límites de AWS Batch (p. 151)
• Límites de AWS Certificate Manager (ACM) (p. 151)
• Límites de AWS CloudFormation (p. 151)
Version 1.0
146
Amazon Web Services Referencia general
Version 1.0
147
Amazon Web Services Referencia general
Límites de Amazon API Gateway
Tasa de limitación por cuenta 1000 solicitudes por segundo (rps) con un límite de ráfaga de 2000
rps.
Version 1.0
148
Amazon Web Services Referencia general
Límites de AWS Application Discovery Service
Los límites que se indican por API únicamente pueden incrementarse para cada API determinada.
For information about additional documented limits, see Limits in Amazon API Gateway en la API Gateway
Developer Guide.
Una cuenta de Amazon AppStream tiene un límite de servicio de hasta cinco sesiones de streaming
simultáneas:
Para obtener más información, consulte Amazon AppStream Application Lifecycle en la Amazon
AppStream Developer Guide.
Version 1.0
149
Amazon Web Services Referencia general
Límites de Application Auto Scaling
Version 1.0
150
Amazon Web Services Referencia general
Límites de AWS Batch
For information about additional documented limits, see Auto Scaling Limits en la Auto Scaling User Guide.
Para obtener más información sobre estos límites, consulte Service Limits en la AWS Batch User Guide.
Para obtener más información sobre estos límites, consulte Limits en la AWS Certificate Manager User
Guide.
Pilas 200
For information about additional documented limits, see AWS CloudFormation Limits en la AWS
CloudFormation User Guide.
Version 1.0
151
Amazon Web Services Referencia general
Límites de AWS CloudHSM
Certificados SSL por cuenta cuando las solicitudes HTTPS se distribuyen mediante direcciones IP 2
dedicadas (sin límite si las solicitudes HTTPS se distribuyen mediante SNI)
Encabezados personalizados que puede hacer que Amazon CloudFront reenvíe al origen 10 pares de nom
For information about additional documented limits, see Limits en la Guía para desarrolladores de Amazon
CloudFront.
Dispositivos HSM 3
Clientes 800
Particiones 10
Instancias de búsqueda 50
For information about additional documented limits, see Understanding Amazon CloudSearch Limits en la
Amazon CloudSearch Developer Guide.
Version 1.0
152
Amazon Web Services Referencia general
Límites de Amazon CloudWatch Events
For information about additional documented limits, see CloudWatch Limits en la Amazon CloudWatch
User Guide.
Version 1.0
153
Amazon Web Services Referencia general
Límites de Amazon CloudWatch Logs
For information about additional documented limits, see Eventos de CloudWatch Limits en la Guía del
usuario de Amazon CloudWatch Events.
For information about additional documented limits, see CloudWatch Logs Limits en la Amazon
CloudWatch Logs User Guide.
Version 1.0
154
Amazon Web Services Referencia general
Límites de AWS CodeCommit
Número máximo de 20
compilaciones en ejecución
simultáneas
For information about additional documented limits, see Limits for AWS CodeBuild en la AWS CodeBuild
User Guide.
For information about additional documented limits, see Limits in AWS CodeCommit en la AWS
CodeCommit User Guide.
For information about additional documented limits, see Limits in AWS CodeDeploy en la AWS CodeDeploy
User Guide.
Version 1.0
155
Amazon Web Services Referencia general
Límites de Amazon Cognito Your User Pools
Número máximo de revisiones que se ejecutan en todas las canalizaciones Cinco veces el número
de canalizaciones de la
cuenta
Número máximo de veces que se puede ejecutar una acción al mes 1 000 por mes natural
Pueden tardarse hasta dos semanas en procesar las solicitudes de aumento del límite.
For information about additional documented limits, see Limits in AWS CodePipeline en la AWS
CodePipeline User Guide.
Para obtener más información sobre otros límites documentados, consulte Límites de Amazon Cognito en
la Guía para desarrolladores de Amazon Cognito.
Para obtener más información sobre otros límites documentados, consulte Límites de Amazon Cognito en
la Guía para desarrolladores de Amazon Cognito.
Version 1.0
156
Amazon Web Services Referencia general
Límites de Amazon Cognito Sync
Para obtener más información sobre otros límites documentados, consulte Service Limits en la Amazon
Connect User Guide.
Para obtener más información sobre otros límites documentados, consulte Límites de Amazon Cognito en
la Guía para desarrolladores de Amazon Cognito.
Version 1.0
157
Amazon Web Services Referencia general
Límites de AWS Config
Para obtener otros límites, consulte AWS Data Pipeline Limits en la AWS Data Pipeline Developer Guide.
Instancias de replicación 20
Version 1.0
158
Amazon Web Services Referencia general
Límites de AWS Device Farm
Tareas 200
Número de dispositivos que AWS Device Farm puede probar 5 Puede solicitar un
durante una ejecución de prueba aumento de este
límite a 100.
Directorios de AD Connector 10
Version 1.0
159
Amazon Web Services Referencia general
Límites de Amazon DynamoDB
Directorios de Simple AD 10
Para obtener más información sobre otros límites documentados, incluidos los límites de Amazon Cloud
Directory, consulte AWS Directory Service Limits en la AWS Directory Service Admin Guide.
For information about additional documented limits, see Limits in Amazon DynamoDB en la Amazon
DynamoDB Developer Guide.
Para obtener más información sobre otros límites documentados, consulte Amazon ECR Service Limits en
la Amazon EC2 Container Registry User Guide.
Version 1.0
160
Amazon Web Services Referencia general
Límites de Amazon EC2 Container Service (Amazon ECS)
Para obtener más información sobre otros límites documentados, consulte Amazon ECS Service Limits en
la Amazon EC2 Container Service Developer Guide.
Un mismo documento de
Systems Manager se puede
compartir con un máximo de 20
cuentas de AWS.
Version 1.0
161
Amazon Web Services Referencia general
Límites de Amazon EC2 Systems Manager
Version 1.0
162
Amazon Web Services Referencia general
Límites de AWS Elastic Beanstalk
Aplicaciones 75
Entornos 200
Version 1.0
163
Amazon Web Services Referencia general
Límites de Amazon Elastic Compute Cloud (Amazon EC2)
For information about additional documented limits, see Amazon EC2 Service Limits en la Guía del usuario
de Amazon EC2 para instancias de Linux.
Limitación de los correos electrónicos que pueden enviarse desde su Limitación aplicada
cuenta de Amazon EC2
Para obtener información sobre los límites relacionados para EC2-VPC, consulte Límites de Amazon
Virtual Private Cloud (Amazon VPC) (p. 183).
Version 1.0
164
Amazon Web Services Referencia general
Límites de Amazon Elastic File System
Para obtener más información sobre cómo consultar los límites actuales, consulte Amazon EC2 Service
Limits en la Guía del usuario de Amazon EC2 para instancias de Linux.
Rendimiento total por sistema de archivos 3 GB/s para todos los clientes conectados
For information about additional documented limits, see Amazon EFS Limits en la Amazon Elastic File
System User Guide.
Version 1.0
165
Amazon Web Services Referencia general
Límites de Amazon Elastic Transcoder
† Este límite incluye los Application Load Balancers y los Classic Load Balancers. Puede solicitar un
aumento de este límite.
EU (Ireland) Region – 20
Pueden tardarse hasta dos semanas en procesar las solicitudes de aumento del límite.
For information about additional documented limits, see los límites de Amazon Elastic Transcoder en la
Amazon Elastic Transcoder Developer Guide.
Version 1.0
166
Amazon Web Services Referencia general
Límites de Amazon Elasticsearch Service
Estos límites son globales para cada cuenta de cliente. Si desea superar estos límites, puede solicitarlo
mediante el formulario de solicitud de nodos de ElastiCache.
Número de instancias de Amazon ES por clúster 20 (excepto para los tipos de instancia T2, que
tienen un máximo de 10).
Note
El límite predeterminado es de 20
instancias por dominio. Para solicitar un
aumento de hasta 100 instancias por
dominio, cree un caso en el Centro de
AWS Support.
Alias 20
Flotas 20
Compilaciones 1 000
Version 1.0
167
Amazon Web Services Referencia general
Límites de AWS Identity and Access Management (IAM)
For information about additional documented limits, see Scaling Amazon Elastic Compute Cloud (Amazon
EC2) Instances en la Amazon GameLift Developer Guide.
Roles 250
Certificados de servidor 20
Usuarios 5 000
For information about additional documented limits, see Limitations on IAM Entities and Objects en la Guía
del usuario de IAM.
Destinos de evaluación 50
Version 1.0
168
Amazon Web Services Referencia general
Límites de AWS IoT
Solicitudes de conexión por segundo por cuenta AWS IoT limita una cuenta a un máximo de 300
solicitudes MQTT CONNECT por segundo.
Número máximo de mensajes entrantes sin El agente de mensajes permite 100 mensajes en
confirmar curso sin confirmar por cliente. Este límite se aplica
a todos los mensajes que requieren ACK. Una vez
alcanzado este límite, no se aceptarán nuevos
mensajes de este cliente hasta que el servidor
devuelva un mensaje ACK.
Número máximo de mensajes salientes sin El agente de mensajes permite solo 100 mensajes
confirmar en curso sin confirmar por cliente. Este límite se
aplica a todos los mensajes que requieren ACK.
Version 1.0
169
Amazon Web Services Referencia general
Límites de agentes de mensajes
Intervalo máximo de reintento para la entrega de Si un cliente no consigue recibir un mensaje ACK
mensajes QoS 1 o QoS 1 durante una hora, el agente de mensajes
elimina ese mensaje. El cliente podría no recibir
el mensaje si tiene 100 mensajes en tránsito, está
sometido a una limitación a causa de cargas de
gran tamaño, o se produce algún otro error.
Número máximo de suscripciones por llamada de Una misma llamada SUBSCRIBE solo puede
suscripción solicitar un máximo de ocho suscripciones.
Solicitudes de publicación por segundo por cuenta 9 000 por segundo por cuenta (publicaciones
entrantes, máx. 3 000 por segundo; publicaciones
salientes, máx. 6 000 por segundo)
Prefijo de ID de cliente restringido “$” está reservado para los ID de cliente generados
internamente.
Version 1.0
170
Amazon Web Services Referencia general
Límites de agentes de mensajes
Prefijo de tema restringido Los temas que comienzan por “$” se consideran
reservados y no se puedan utilizar para publicar ni
realizar suscripciones, excepto cuando se trabaje
con el servicio Thing Shadows.
Suscripciones por segundo por cuenta AWS IoT limita una cuenta a un máximo de 500
suscripciones por segundo. Por ejemplo, si hay dos
llamadas MQTT SUBSCRIBE en un segundo con 3
suscripciones (filtros de tema) cada una, AWS IoT
las contará como 6 suscripciones al calcular este
límite.
Version 1.0
171
Amazon Web Services Referencia general
Límites de Device Shadow
"desired": {
"one": {
"two": {
"three": {
"four": {
"five":{
}
}
}
}
}
}
Número máximo de mensajes en tránsito sin El servicio Thing Shadows admite hasta 10
confirmar mensajes en tránsito sin confirmar. Cuando se
alcanza este límite, todas las nuevas solicitudes de
sombras se rechazan con un código de error 429.
Version 1.0
172
Amazon Web Services Referencia general
Límites de seguridad e identidad
Número máximo de objetos JSON por cuenta de No existe ningún límite respecto al número de
AWS objetos JSON por cuenta de AWS.
Tamaño máximo de un nombre de cosa 128 bytes de caracteres con codificación UTF-8.
Límites de limitación
API Transacciones por segundo
AcceptCertificateTransfer 10
AttachPrincipalPolicy 15
AttachThingPrincipal 15
CancelCertificateTransfer 10
CreateCertificateFromCsr 15
CreatePolicy 10
CreatePolicyVersion 10
CreateThing 15
CreateThingType 15
DeleteCertificate 10
DeleteCACertificate 10
Version 1.0
173
Amazon Web Services Referencia general
Límites de limitación
DeletePolicy 10
DeletePolicyVersion 10
DeleteThing 15
DeleteThingType 15
DeprecateThingType 15
DescribeCertificate 10
DescribeCACertificate 10
DescribeThing 10
DescribeThingType 10
DetachThingPrincipal 15
DetachPrincipalPolicy 15
DeleteRegistrationCode 10
GetPolicy 10
GetPolicyVersion 15
GetRegistrationCode 10
ListCACertificates 10
ListCertificates 10
ListCertificatesByCA 10
ListOutgoingCertificates 10
ListPolicies 10
ListPolicyPrincipals 10
ListPolicyVersions 10
ListPrincipalPolicies 15
ListPrincipalThings 10
ListThings 10
ListThingPrincipals 10
ListThingTypes 10
RegisterCertificate 10
RegisterCACertificate 10
RejectCertificateTransfer 10
SetDefaultPolicyVersion 10
Version 1.0
174
Amazon Web Services Referencia general
Límites del motor de reglas de AWS IoT
TransferCertificate 10
UpdateCertificate 10
UpdateCACertificate 10
UpdateThing 10
Alias 1 100
Todos los límites de la tabla anterior se aplican por región y por cuenta de AWS.
For information about additional documented limits, see Limits en la AWS Key Management Service
Developer Guide.
5 000 registros/segundo
Version 1.0
175
Amazon Web Services Referencia general
Límites de Amazon Kinesis Streams
† Los tres límites de capacidad se escalan proporcionalmente. Por ejemplo, si se incrementa el límite
de rendimiento a 10 MB/segundo, los demás límites aumentan a 4 000 transacciones/segundo y 10 000
registros/segundo.
For information about additional documented limits, see Amazon Kinesis Firehose Limits en la Amazon
Kinesis Firehose Developer Guide.
EU (Ireland) Region – 50
For information about additional documented limits, see Amazon Kinesis Streams Limits en la Amazon
Kinesis Streams Developer Guide.
For information about additional documented limits, see AWS Lambda Limits en la AWS Lambda Developer
Guide.
Version 1.0
176
Amazon Web Services Referencia general
Límites de Amazon Machine Learning (Amazon ML)
Tamaño de modelo de ML 2 GB
Note
El tamaño de los archivos de datos se limita para asegurarse de que los trabajos finalicen
puntualmente. Los trabajos que llevan ejecutándose más de siete días se finalizan
automáticamente, lo que da lugar al estado FAILED.
For information about additional documented limits, see Amazon ML Limits en la Amazon Machine
Learning Developer Guide.
Servidores de Chef 5
Pilas 40
Version 1.0
177
Amazon Web Services Referencia general
Límites de AWS Organizations
For information about additional documented limits, see Limits of AWS Organizations en la AWS
Organizations User Guide.
Operation Límite
Lexicon
ListLexicons
Speech
Version 1.0
178
Amazon Web Services Referencia general
Límites de Amazon Redshift
Nodos 200
Snapshots 20
Grupos de parámetros 20
Grupos de seguridad 20
Grupos de subredes 20
Suscripciones de eventos 20
For information about additional documented limits, see Limits in Amazon Redshift en la Amazon Redshift
Cluster Management Guide.
Clústeres 40
Version 1.0
179
Amazon Web Services Referencia general
Límites de Amazon Route 53
Suscripciones de eventos 20
Grupos de opciones 20
Grupos de parámetros 50
Grupos de seguridad 25
Grupos de subredes 50
Dominios 50
Amazon VPC s que se puede asociar con una zona alojada privada 100
Comprobaciones de estado 50
Políticas de tráfico 50
Registros de políticas 5
For information about additional documented limits, see Amazon Route 53 Limits en la Guía para
desarrolladores de Amazon Route 53.
Version 1.0
180
Amazon Web Services Referencia general
Límites de AWS Server Migration Service
Duración máxima de uso del servicio por máquina virtual (no por 90 días
cuenta), comenzando por la replicación inicial de una máquina
virtual. Finalizamos una réplica que continúe en curso transcurrido
este período, a menos que un cliente solicite un aumento del límite.
Version 1.0
181
Amazon Web Services Referencia general
Límites de Amazon Simple
Notification Service (Amazon SNS)
La tasa de aceptación
de mensajes en Amazon
SES podría ser inferior
a la tasa máxima de
envío.
For information about additional documented limits, see Limits in Amazon SES en la Amazon Simple Email
Service Developer Guide.
ListEndpointsByPlatformApplication 30
ListTopics 30
ListPlatformApplications 15
ListSubscriptions 30
ListSubscriptionsByTopic 30
Subscribe 100
Unsubscribe 100
Version 1.0
182
Amazon Web Services Referencia general
Amazon Simple Queue Service (Amazon SQS)
For information about additional documented limits, see los límites de Amazon S3 en la Guía para
desarrolladores de Amazon Simple Storage Service.
Dominios 250
For information about additional documented limits, see Amazon SimpleDB Limits en la Amazon SimpleDB
Developer Guide.
Version 1.0
183
Amazon Web Services Referencia general
Límites de Amazon Virtual Private Cloud (Amazon VPC)
Subredes por VPC 200 Para aumentar este límite, puede enviar una
solicitud.
Gateways de Internet de solo salida por 5 Este límite está directamente relacionado
región con el límite de VPC por región. No puede
aumentar este límite individualmente; la
única forma de aumentar este límite es
aumentar el límite de VPC por región. Solo
se puede adjuntar una gateway de Internet
de solo salida a una VPC a la vez.
Gateways privadas virtuales por región 5 Para aumentar este límite, póngase en
contacto con AWS Support; no obstante,
solo se puede adjuntar una gateway privada
virtual a una VPC a la vez.
Conexiones de VPN por región 50 Para aumentar este límite, puede enviar una
solicitud.
Conexiones de VPN por VPC (por gateway 10 Para aumentar este límite, puede enviar una
privada virtual) solicitud.
Tablas de rutas por VPC 200 Incluida la tabla de rutas principal. Puede
asociar una tabla de rutas a una o varias
subredes en una VPC.
Rutas por tabla de rutas (rutas no 50 Este es el límite del número de entradas no
propagadas) propagadas por tabla de rutas. Puede enviar
una solicitud de aumento de hasta 100; no
obstante, el rendimiento de red podría verse
afectado. Este límite se aplica de forma
independiente para las rutas IPv4 e IPv6
(50 de cada tipo, con un máximo de 100 de
cada tipo).
Version 1.0
184
Amazon Web Services Referencia general
Límites de Amazon Virtual Private Cloud (Amazon VPC)
Rutas anunciadas de BGP por tabla de rutas 100 Puede tener hasta 100 rutas propagadas por
(rutas propagadas) tabla de rutas; sin embargo, el número total
de entradas propagadas y no propagadas
por tabla de rutas no puede ser mayor que
100. Por ejemplo, si tiene 50 entradas no
propagadas (el límite predeterminado para
este tipo de entrada), solo puede tener 50
entradas propagadas. Este límite no se
puede aumentar. Si necesita más de 100
prefijos, anuncie una ruta predeterminada.
Direcciones IP elásticas por región por cada 5 Este es el límite para el número de
cuenta de AWS direcciones IP elásticas de VPC que se
pueden asignar dentro de una región. Se
trata de un límite independiente del límite de
direcciones IP elásticas de Amazon EC2.
Para aumentar este límite, puede enviar una
solicitud.
Grupos de seguridad por VPC 500 Para aumentar este límite, puede enviar una
solicitud.
Grupos de seguridad por interfaz de red 5 Para aumentar o disminuir este límite, puede
ponerse en contacto con AWS Support. El
máximo es 16. El múltiplo del límite para los
grupos de seguridad por interfaz de red y el
límite para las reglas por grupo de seguridad
no puede superar 250. Por ejemplo, si
desea 10 grupos de seguridad por interfaz
de red, reduciremos el número de normas
por grupo de seguridad a 25.
Version 1.0
185
Amazon Web Services Referencia general
Límites de Amazon Virtual Private Cloud (Amazon VPC)
Interfaces de red por instancia - Este límite varía en función del tipo de
instancia. Para obtener más información,
consulte IP Addresses Per ENI Per Instance
Type.
Interfaces de red por región 350 Este límite es el mayor entre el límite
predeterminado (350) o su límite de
instancias a petición multiplicado por 5.
El límite predeterminado de instancias a
petición es 20. Si su límite de instancias a
petición es inferior a 70, se aplica el límite
predeterminado de 350. Si desea aumentar
el número de interfaces de red por región,
póngase en contacto con AWS Support, o
bien incremente su límite de instancias a
petición.
ACL de red por VPC 200 Puede asociar una ACL de red de una o
varias subredes de una VPC. Este límite no
es el mismo que el número de reglas por
ACL de red.
Reglas por ACL de red 20 Este es el límite unidireccional para una sola
red ACL, donde el límite para las reglas de
entrada es 20 y el límite para las de salida
es 20. Este límite incluye las reglas tanto
IPv4 como IPv6, así como las reglas de
denegación predeterminada (número de
regla 32767 para IPv4 y 32768 para IPv6,
o un asterisco* en la consola de Amazon
VPC).
Interconexiones de VPC activas por VPC 50 Para aumentar este límite, póngase en
contacto con AWS Support. El límite máximo
es de 125 interconexiones por VPC. El
número de entradas por tabla de rutas
debe aumentarse en consecuencia; sin
embargo, el rendimiento de la red podría
verse afectado.
Tiempo de caducidad de una solicitud de 1 semana Para aumentar este límite, póngase en
interconexión de VPC no aceptada (168 contacto con AWS Support.
horas)
Version 1.0
186
Amazon Web Services Referencia general
Límites de AWS WAF
Puntos de conexión de la VPC por región 20 Para aumentar este límite, póngase en
contacto con AWS Support. El límite máximo
es de 255 puntos de conexión por VPC,
independientemente del límite de puntos de
conexión por región.
Registros de flujo por cada interfaz de red, 2 En realidad, puede tener 6 registros de flujo
subred o VPC individual de una región por interfaz de red si crea 2 registros de flujo
para la subred y 2 registros de flujo para la
VPC en la que reside la interfaz de red. Este
límite no se puede aumentar.
Gateways NAT por zona de disponibilidad 5 Para aumentar este límite, puede enviar
una solicitud. Una gateway NAT con el
estado pending, active o deleting cuenta
al calcular el límite.
For information about additional documented limits, see Amazon VPC Limits en la Amazon VPC User
Guide.
Recurso Límite
predeterminado
*Este límite se aplica únicamente a AWS WAF en un Balanceador de carga de aplicaciones. Los límites de
solicitudes por segundo (RPS) para AWS WAF en CloudFront son los mismos que se describen para RPS
en la guía para desarrolladores de CloudFront.
Version 1.0
187
Amazon Web Services Referencia general
Límites de Amazon WorkSpaces
Recurso Límite
En las condiciones de coincidencia de cadena, número de bytes del valor que AWS 50
WAF debe buscar
Estos límites son los mismos en todas las regiones en las que AWS WAF está disponible. Cada región
está sujeta a estos límites de manera individual. Es decir, los límites no se acumulan para todas las
regiones.
WorkSpaces 1
Graphics WorkSpaces 0
Imágenes 5
Version 1.0
188
Amazon Web Services Referencia general
Descargar
Amazon Web Services (AWS) publica sus rangos de direcciones IP actuales en formato JSON. Para ver
los rangos actuales, descargue el archivo .json. Para mantener el historial, guarde versiones sucesivas
del archivo .json en el sistema. Para determinar si se han producido cambios desde la última vez que
guardó el archivo, consulte la fecha y hora de publicación en el archivo actual y compárelas con la fecha y
hora de publicación del último archivo que ha guardado.
Contenido
• Descargar (p. 189)
• Sintaxis (p. 189)
• Filtrado del archivo JSON (p. 191)
• Implementación del control de salidas (p. 192)
• Notificaciones de rangos de direcciones IP de AWS (p. 192)
Descargar
Descargue ip-ranges.json .
Si accede a este archivo mediante programación, es responsabilidad suya asegurarse de que la aplicación
descargue el archivo correctamente únicamente después de haber comprobado el certificado TLS
presentado por el servidor.
Sintaxis
La sintaxis de ip-ranges.json es la siguiente.
{
"syncToken": "0123456789",
"createDate": "yyyy-mm-dd-hh-mm-ss",
"prefixes": [
{
"ip_prefix": "cidr",
Version 1.0
189
Amazon Web Services Referencia general
Sintaxis
"region": "region",
"service": "subset"
}
],
"ipv6_prefixes": [
{
"ipv6_prefix": "cidr",
"region": "region",
"service": "subset"
}
]
}
syncToken
Tipo: String
Tipo: String
Tipo: Array
ipv6_prefixes
Tipo: Array
ip_prefix
Rango de direcciones IPv4 públicas en notación CIDR. Tenga en cuenta que AWS puede anunciar un
prefijo en rangos más específicos. Por ejemplo, el 96.127.0.0/17 del archivo se puede anunciar como
96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 y 96.127.64.0/18.
Tipo: String
Rango de direcciones IPv6 públicas en notación CIDR. Tenga en cuenta que AWS puede anunciar un
prefijo en rangos más específicos.
Tipo: String
La región de AWS o GLOBAL para las ubicaciones de borde. Tenga en cuenta que los rangos
CLOUDFRONT y ROUTE53 son GLOBAL. Debe hacer caso omiso de todos los valores excepto los que se
enumeran aquí.
Version 1.0
190
Amazon Web Services Referencia general
Filtrado del archivo JSON
Tipo: String
Subconjunto de rangos de direcciones IP. Especifique AMAZON para obtener todos los rangos de
direcciones IP (por ejemplo, los rangos del subconjunto EC2 también pertenecen al subconjunto
AMAZON). Tenga en cuenta que algunos rangos de direcciones IP solo se encuentran en el subconjunto
AMAZON. Debe hacer caso omiso de todos los valores excepto los que se enumeran aquí.
Tipo: String
Windows
Herramientas de AWS para Windows PowerShell incluye un cmdlet, Get-AWSPublicIpAddressRange, para
analizar este archivo JSON. Su uso se ilustra en los siguientes ejemplos. Para obtener más información,
consulte Querying the Public IP Address Ranges for AWS.
PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
Version 1.0
191
Amazon Web Services Referencia general
Linux
...
Linux
Los comandos del ejemplo siguiente usan la herramienta jq para analizar una copia local del archivo
JSON.
"2016-02-18-17-22-15"
{
"ip_prefix": "23.20.0.0/14",
"region": "us-east-1",
"service": "AMAZON"
},
{
"ip_prefix": "50.16.0.0/15",
"region": "us-east-1",
"service": "AMAZON"
},
{
"ip_prefix": "50.19.0.0/16",
"region": "us-east-1",
"service": "AMAZON"
},
...
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
Version 1.0
192
Amazon Web Services Referencia general
Notificaciones de rangos de direcciones IP de AWS
{
"create-time":"yyyy-mm-ddThh:mm:ss+00:00",
"synctoken":"0123456789",
"md5":"6a45316e8bc9463c9e926d5d37836d33",
"url":"https://ip-ranges.amazonaws.com/ip-ranges.json"
}
create-time
Las notificaciones se pueden entregar de forma desordenada. Por lo tanto, se recomienda comprobar
el las marcas de tiempo para saber cuál es el orden correcto.
synctoken
Valor hash criptográfico del archivo ip-ranges.json archivo. Puede utilizar este valor para comprobar
si el archivo descargado está dañado.
url
Si desea recibir una notificación cuando se produzca un cambio en los rangos de direcciones IP de AWS,
puede suscribirse de la siguiente manera para recibir notificaciones mediante Amazon SNS.
arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
b. Para Protocol, elija el protocolo que desea utilizar (por ejemplo, Email).
c. Para Endpoint, escriba el punto de conexión donde desea recibir la notificación (por ejemplo, su
dirección de correo electrónico).
d. Elija Create subscription.
6. Nos pondremos en contacto con usted en el punto de conexión especificado y le pediremos que
confirme su suscripción. Por ejemplo, si ha especificado una dirección de correo electrónico, recibirá
un mensaje de correo electrónico con la línea de asunto AWS Notification - Subscription
Confirmation. Siga las instrucciones para confirmar la suscripción.
Las notificaciones están sujetas a la disponibilidad del punto de conexión. Por lo tanto, es conveniente
revisar el archivo JSON periódicamente para asegurarse de disponer de los últimos rangos. Para obtener
más información sobre la confiabilidad de Amazon SNS, consulte https://aws.amazon.com/sns/faqs/
#Reliability.
Si ya no desea recibir estas notificaciones, utilice el siguiente procedimiento para cancelar la suscripción.
Version 1.0
193
Amazon Web Services Referencia general
Notificaciones de rangos de direcciones IP de AWS
Para obtener más información sobre Amazon SNS, consulte Amazon Simple Notification Service
Developer Guide.
Version 1.0
194
Amazon Web Services Referencia general
Numerosos componentes de una red, como los servidores DNS, los conmutadores o los balanceadores
de carga, entre otros, pueden generar errores en cualquier punto de la vida de una solicitud determinada.
La técnica habitual para abordar estas respuestas de error en un entorno de red consiste en implementar
los reintentos en la aplicación cliente. Esta técnica aumenta la confiabilidad de la aplicación y reducen los
costos operativos para el desarrollador.
Cada AWS SDK implementa una lógica de reintento automático. AWS SDK for Java reintenta
automáticamente las solicitudes y le permite configurar los ajustes de reintento mediante la clase
ClientConfiguration. Por ejemplo, puede ser conveniente desactivar la lógica de reintento para
una página web que realiza una solicitud con una latencia mínima y sin intentos. Utilice la clase
ClientConfiguration y proporcione un valor de maxErrorRetry de 0 para desactivar los reintentos.
Si no utiliza AWS SDK;, debe reintentar las solicitudes originales que reciban errores de servidor (5xx) o
limitación. Sin embargo, los errores de cliente (4xx) indican que es preciso revisar la solicitud para corregir
el problema antes de reintentarla.
Además de los reintentos sencillos, cada AWS SDK implementa un algoritmo de retardo exponencial
para mejorar el control de flujo. El retardo exponencial se basa en la idea de utilizar tiempos de espera
progresivamente más largos entre reintentos para las respuestas a errores consecutivos. Debe
implementar un intervalo de retraso máximo, así como un número máximo de intentos. El intervalo de
retraso máximo y el número máximo de reintentos no son necesariamente valores fijos. Por ello, deben
establecerse en función de la operación realizada, así como de otros factores locales, como la latencia de
red.
La mayoría los algoritmos de retardo exponencial utilizan la fluctuación (el retraso aleatorio) para evitar
conflictos sucesivos. Habida cuenta de que no está intentando evitar este tipo de conflictos en estos casos,
no es necesario utilizar este número aleatorio. Sin embargo, si utiliza clientes simultáneos, la fluctuación
puede ayudar a que las solicitudes tengan éxito con mayor rapidez. Para obtener más información,
consulte la entrada de blog Exponential Backoff and Jitter.
El siguiente pseudocódigo muestra una manera de sondear si existe un estado mediante un retraso
incremental.
Version 1.0
195
Amazon Web Services Referencia general
retries = 0
DO
wait for (2^retries * 100) milliseconds
IF status = SUCCESS
retry = false
ELSE IF status = NOT_READY
retry = true
ELSE IF status = THROTTLED
retry = true
ELSE
Some other error occurred, so stop calling the API.
retry = false
END IF
retries = retries + 1
/*
* Performs an asynchronous operation, then polls for the result of the
* operation using an incremental delay.
*/
public static void doOperationAndWaitForResult() {
try {
// Do some asynchronous operation.
long token = asyncOperation();
int retries = 0;
boolean retry = false;
do {
long waitTime = Math.min(getWaitTimeExp(retries), MAX_WAIT_INTERVAL);
System.out.print(waitTime + "\n");
if (Results.SUCCESS == result) {
retry = false;
} else if (Results.NOT_READY == result) {
retry = true;
} else if (Results.THROTTLED == result) {
retry = true;
} else if (Results.SERVER_ERROR == result) {
Version 1.0
196
Amazon Web Services Referencia general
retry = true;
}
else {
// Some other error occurred, so stop calling the API.
retry = false;
}
/*
* Returns the next wait interval, in milliseconds, using an exponential
* backoff algorithm.
*/
public static long getWaitTimeExp(int retryCount) {
return waitTime;
}
Version 1.0
197
Amazon Web Services Referencia general
AWS Command Line Interface (AWS CLI)
AWS también ofrece Herramientas de AWS para Windows PowerShell para aquellos que incorporan el
entorno de PowerShell en el script.
AWS
CloudFormation
Command Line
Tools Quick
Reference Card
Version 1.0
198
Amazon Web Services Referencia general
Herramientas anteriores de interfaz
de línea de comandos de AWS
AWS Elastic Página de descarga: AWS Elastic Beanstalk Command Line AWS Elastic
Beanstalk Tools Beanstalk
Command Line
Tools Reference
AWS Identity El paquete de herramientas de línea de comandos de IAM ha AWS CLI User
and Access quedado obsoleto. Para realizar acciones de IAM en la línea Guide
Management de comandos, utilice la AWS Command Line Interface.
AWS Identity
and Access
Management
from the AWS
Command Line
Interface
IAM reference in
the AWS CLI
AWS Import/Export Página de descarga: Download the AWS Import/Export Disk What Is AWS
Disk Web Service Tool Import/Export
Disk?
Version 1.0
199
Amazon Web Services Referencia general
Herramientas anteriores de interfaz
de línea de comandos de AWS
Amazon Redshift Página de descarga: Interfaz de línea de comandos de AWS Amazon Redshift
reference in the
AWS CLI
Amazon RDS
Command Line
Tools Quick
Reference Card
Amazon VPC
Command Line
Tools Quick
Reference Card
Version 1.0
200
Amazon Web Services Referencia general
Typographical Conventions
Document Conventions
This section lists the common typographical and symbol use conventions for AWS technical publications.
Typographical Conventions
This section describes common typographical use conventions.
Convention Description/Example
Call-outs A call-out is a number in the body text to give you a visual reference. The
reference point is for further discussion elsewhere.
Code in text Inline code samples (including XML) and commands are identified with a
special font.
Code blocks Blocks of sample code are set apart from the body and marked accordingly.
# ls -l /var/www/html/index.html
-rw-rw-r-- 1 root root 1872 Jun 21 09:33 /var/www/html/index.html
# date
Wed Jun 21 09:33:42 EDT 2006
Emphasis Unusual or important words and phrases are marked with a special font.
You must sign up for an account before you can use the service.
Logical values, A special font is used for expressions that are important to identify, but are not
constants, and regular code.
expressions, abstracta
If the value is null, the returned response will be false.
Product and feature Named AWS products and features are identified on first use.
names
Create an Amazon Machine Image (AMI).
Version 1.0
201
Amazon Web Services Referencia general
Symbol Conventions
Convention Description/Example
Technical publication References to other AWS publications. If the reference is hyperlinked, it is also
references underscored.
User entered values A special font marks text that the user types.
User interface controls Denotes named items on the UI for easy identification.
and labels
On the File menu, click Properties.
Variables When you see this style, you must change the value of the content when you
copy the text of a sample to a command line.
% ec2-register <your-s3-bucket>/image.manifest
Symbol Conventions
This section describes the common use of symbols.
Mutually (Parentheses | and | Within a code description, bar separators denote options from
exclusive vertical | bars) which one must be chosen.
parameters
% data = hdfread (start | stride | edge)
Optional [square brackets] Within a code description, square brackets denote completely
parameters optional commands or parameters.
<CustomerId>[ID]</CustomerId>
Version 1.0
202
Amazon Web Services Referencia general
Symbol Conventions
Variables <arrow brackets> Within a code sample, arrow brackets denote a variable that
must be replaced with a valid value.
% ec2-register <your-s3-bucket>/image.manifest
Version 1.0
203
Amazon Web Services Referencia general
Historial de documentación
En la siguiente tabla se describen los cambios importantes realizados desde la última versión de la
Referencia general de Amazon Web Services.
Version 1.0
204
Amazon Web Services Referencia general
Primera versión Esta es la primera versión de la Referencia general de Amazon Web 2 de marzo de
Services. 2011
Version 1.0
205
Amazon Web Services Referencia general
AWS Glossary
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
A
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
access control list (ACL) A document that defines who can access a particular bucket (p. 218) or
object. Each bucket (p. 218) and object in Amazon S3 (p. 211) has an ACL.
The document defines what each type of user can do, such as write and read
permissions.
access key The combination of an access key ID (p. 206) (like AKIAIOSFODNN7EXAMPLE) and a
secret access key (p. 246) (like wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY).
You use access keys to sign API requests that you make to AWS.
access key ID A unique identifier that's associated with a secret access key (p. 246); the
access key ID and secret access key are used together to sign programmatic AWS
requests cryptographically.
access key rotation A method to increase security by changing the AWS access key ID. This method
enables you to retire an old key at your discretion.
Version 1.0
206
Amazon Web Services Referencia general
access policy language A language for writing documents (that is, policies (p. 239)) that specify who can
access a particular AWS resource (p. 243) and under what conditions.
account A formal relationship with AWS that is associated with (1) the owner email address
and password, (2) the control of resource (p. 243)s created under its umbrella,
and (3) payment for the AWS activity related to those resources. The AWS account
has permission to do anything and everything with all the AWS account resources.
This is in contrast to a user (p. 252), which is an entity contained within the
account.
account activity A web page showing your month-to-date AWS usage and costs. The account
activity page is located at https://aws.amazon.com/account-activity/.
action An API function. Also called operation or call. The activity the principal (p. 240)
has permission to perform. The action is B in the statement "A has permission
to do B to C where D applies." For example, Jane sends a request to Amazon
SQS (p. 211) with Action=ReceiveMessage.
Amazon CloudWatch (p. 208): The response initiated by the change in an alarm's
state: for example, from OK to ALARM. The state change may be triggered by a
metric reaching the alarm threshold, or by a SetAlarmState request. Each alarm can
have one or more actions assigned to each state. Actions are performed once each
time the alarm changes to a state that has an action assigned, such as an Amazon
Simple Notification Service (p. 211) notification, an Auto Scaling (p. 213)
policy (p. 239) execution or an Amazon EC2 (p. 209) instance (p. 231) stop/
terminate action.
active trusted signers A list showing each of the trusted signers you've specified and the IDs of the
corresponding active key pairs that Amazon CloudFront (p. 208) is aware of. To
be able to create working signed URLs, a trusted signer must appear in this list with
at least one key pair ID.
additional authenticated data Information that is checked for integrity but not encrypted, such as headers or other
contextual metadata.
administrative suspension Auto Scaling (p. 213) might suspend processes for Auto Scaling group (p. 213)
that repeatedly fail to launch instances. Auto Scaling groups that most commonly
experience administrative suspension have zero running instances, have been
trying to launch instances for more than 24 hours, and have not succeeded in that
time.
alarm An item that watches a single metric over a specified time period, and triggers
an Amazon SNS (p. 211) topic (p. 251) or an Auto Scaling (p. 213)
policy (p. 239) if the value of the metric crosses a threshold value over a
predetermined number of time periods.
allow One of two possible outcomes (the other is deny (p. 224)) when an IAM (p. 215)
access policy (p. 239) is evaluated. When a user makes a request to AWS, AWS
evaluates the request based on all permissions that apply to the user and then
returns either allow or deny.
Amazon API Gateway A fully managed service that makes it easy for developers to create, publish,
maintain, monitor, and secure APIs at any scale.
See Also https://aws.amazon.com/api-gateway.
Version 1.0
207
Amazon Web Services Referencia general
Amazon AppStream A web service for streaming existing Windows applications from the cloud to any
device.
See Also https://aws.amazon.com/appstream/.
Amazon Aurora A fully managed MySQL-compatible relational database engine that combines
the speed and availability of commercial databases with the simplicity and cost-
effectiveness of open source databases.
See Also https://aws.amazon.com/rds/aurora/.
Amazon CloudFront An AWS content delivery service that helps you improve the performance, reliability,
and availability of your websites and applications.
See Also https://aws.amazon.com/cloudfront.
Amazon CloudSearch A fully managed service in the AWS cloud that makes it easy to set up, manage,
and scale a search solution for your website or application.
Amazon CloudWatch A web service that enables you to monitor and manage various metrics, and
configure alarm actions based on data from those metrics.
See Also https://aws.amazon.com/cloudwatch.
Amazon CloudWatch Events A web service that enables you to deliver a timely stream of system events
that describe changes in AWS resource (p. 243)s to AWS Lambda (p. 215)
functions, streams in Amazon Kinesis Streams (p. 210), Amazon Simple
Notification Service (p. 211) topics, or built-in targets.
See Also https://aws.amazon.com/cloudwatch.
Amazon CloudWatch Logs A web service for monitoring and troubleshooting your systems and applications
from your existing system, application, and custom log files. You can send your
existing log files to CloudWatch Logs and monitor these logs in near real-time.
See Also https://aws.amazon.com/cloudwatch.
Amazon Cognito A web service that makes it easy to save mobile user data, such as app
preferences or game state, in the AWS cloud without writing any back-end code or
managing any infrastructure. Amazon Cognito offers mobile identity management
and data synchronization across devices.
See Also https://aws.amazon.com/cognito/.
Amazon DevPay An easy-to-use online billing and account management service that makes it easy
for you to sell an Amazon EC2 (p. 209) AMI (p. 210) or an application built on
Amazon S3 (p. 211).
See Also https://aws.amazon.com/devpay.
Amazon DynamoDB A fully managed NoSQL database service that provides fast and predictable
performance with seamless scalability.
See Also https://aws.amazon.com/dynamodb/.
Amazon DynamoDB Storage A storage backend for the Titan graph database implemented on top of Amazon
Backend for Titan DynamoDB. Titan is a scalable graph database optimized for storing and querying
graphs.
See Also https://aws.amazon.com/dynamodb/.
Amazon DynamoDB Streams An AWS service that captures a time-ordered sequence of item-level modifications
in any Amazon DynamoDB table, and stores this information in a log for up to 24
hours. Applications can access this log and view the data items as they appeared
before and after they were modified, in near real time.
See Also https://aws.amazon.com/dynamodb/.
Amazon Elastic Block Store A service that provides block level storage volume (p. 253)s for use with EC2
(Amazon EBS) instance (p. 225)s.
Version 1.0
208
Amazon Web Services Referencia general
Amazon EBS-backed AMI A type of Amazon Machine Image (AMI) (p. 210) whose instance (p. 231)s use
an Amazon EBS (p. 208) volume (p. 253) as their root device. Compare this
with instances launched from instance store-backed AMI (p. 231)s, which use the
instance store (p. 231) as the root device.
Amazon EC2 Container A fully managed Docker container registry that makes it easy for developers to
Registry (Amazon ECR) store, manage, and deploy Docker container images. Amazon ECR is integrated
with Amazon EC2 Container Service (Amazon ECS) (p. 209) and AWS Identity
and Access Management (IAM) (p. 215).
See Also https://aws.amazon.com/ecr.
Amazon EC2 Container A highly scalable, fast, container (p. 221) management service that makes it
Service (Amazon ECS) easy to run, stop, and manage Docker containers on a cluster (p. 220) of EC2
instance (p. 225)s.
See Also https://aws.amazon.com/ecs.
Amazon ECS service A service for running and maintaining a specified number of task (p. 251)s
(instantiations of a task definition (p. 251)) simultaneously.
Amazon Elastic Compute A web service that enables you to launch and manage Linux/UNIX and Windows
Cloud (Amazon EC2) server instance (p. 231)s in Amazon's data centers.
See Also https://aws.amazon.com/ec2.
Amazon Elastic File System A file storage service for EC2 (p. 209) instance (p. 231)s. Amazon EFS is easy
(Amazon EFS) to use and provides a simple interface with which you can create and configure file
systems. Amazon EFS storage capacity grows and shrinks automatically as you
add and remove files.
See Also https://aws.amazon.com/efs/.
Amazon EMR (Amazon EMR) A web service that makes it easy to process large amounts of data efficiently.
Amazon EMR uses Hadoop (p. 229) processing combined with several AWS
products to do such tasks as web indexing, data mining, log file analysis, machine
learning, scientific simulation, and data warehousing.
See Also https://aws.amazon.com/elasticmapreduce.
Amazon Elastic Transcoder A cloud-based media transcoding service. Elastic Transcoder is a highly scalable
tool for converting (or transcoding) media files from their source format into versions
that will play on devices like smartphones, tablets, and PCs.
See Also https://aws.amazon.com/elastictranscoder/.
Amazon ElastiCache A web service that simplifies deploying, operating, and scaling an in-memory cache
in the cloud. The service improves the performance of web applications by providing
information retrieval from fast, managed, in-memory caches, instead of relying
entirely on slower disk-based databases.
See Also https://aws.amazon.com/elasticache/.
Amazon Elasticsearch Service An AWS managed service for deploying, operating, and scaling Elasticsearch, an
(Amazon ES) open-source search and analytics engine, in the AWS Cloud. Amazon Elasticsearch
Service (Amazon ES) also offers security options, high availability, data durability,
and direct access to the Elasticsearch APIs.
See Also https://aws.amazon.com/elasticsearch-service.
Amazon GameLift A managed service for deploying, operating, and scaling session-based multiplayer
games.
See Also https://aws.amazon.com/gamelift/.
Version 1.0
209
Amazon Web Services Referencia general
Amazon Glacier A secure, durable, and low-cost storage service for data archiving and long-term
backup. You can reliably store large or small amounts of data for significantly less
than on-premises solutions. Amazon Glacier is optimized for infrequently accessed
data, where a retrieval time of several hours is suitable.
See Also https://aws.amazon.com/glacier/.
Amazon Inspector An automated security assessment service that helps improve the security and
compliance of applications deployed on AWS. Amazon Inspector automatically
assesses applications for vulnerabilities or deviations from best practices. After
performing an assessment, Amazon Inspector produces a detailed report with
prioritized steps for remediation.
See Also https://aws.amazon.com/inspector.
Amazon Kinesis A platform for streaming data on AWS. Amazon Kinesis offers services that simplify
the loading and analysis of streaming data.
See Also https://aws.amazon.com/kinesis/.
Amazon Kinesis Firehose A fully managed service for loading streaming data into AWS. Firehose can capture
and automatically load streaming data into Amazon S3 (p. 211) and Amazon
Redshift (p. 210), enabling near real-time analytics with existing business
intelligence tools and dashboards. Firehose automatically scales to match the
throughput of your data and requires no ongoing administration. It can also batch,
compress, and encrypt the data before loading it.
See Also https://aws.amazon.com/kinesis/firehose/.
Amazon Kinesis Streams A web service for building custom applications that process or analyze streaming
data for specialized needs. Amazon Kinesis Streams can continuously capture and
store terabytes of data per hour from hundreds of thousands of sources.
See Also https://aws.amazon.com/kinesis/streams/.
Amazon Lumberyard A cross-platform, 3D game engine for creating high-quality games. You can connect
games to the compute and storage of the AWS cloud and engage fans on Twitch.
See Also https://aws.amazon.com/lumberyard/.
Amazon Machine Image (AMI) An encrypted machine image stored in Amazon Elastic Block Store (Amazon
EBS) (p. 208) or Amazon Simple Storage Service (p. 211). AMIs are like a
template of a computer's root drive. They contain the operating system and can
also include software and layers of your application, such as database servers,
middleware, web servers, and so on.
Amazon Machine Learning A cloud-based service that creates machine learning (ML) models by finding
patterns in your data, and uses these models to process new data and generate
predictions.
See Also http://aws.amazon.com/machine-learning/.
Amazon Mobile Analytics A service for collecting, visualizing, understanding, and extracting mobile app usage
data at scale.
See Also https://aws.amazon.com/mobileanalytics.
Amazon Redshift A fully managed, petabyte-scale data warehouse service in the cloud. With Amazon
Redshift you can analyze your data using your existing business intelligence tools.
See Also https://aws.amazon.com/redshift/.
Amazon Relational Database A web service that makes it easier to set up, operate, and scale a relational
Service (Amazon RDS) database in the cloud. It provides cost-efficient, resizable capacity for an industry-
standard relational database and manages common database administration tasks.
See Also https://aws.amazon.com/rds.
Version 1.0
210
Amazon Web Services Referencia general
Amazon Resource Name A standardized way to refer to an AWS resource (p. 243). For example:
(ARN) arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob.
Amazon Route 53 A web service you can use to create a new DNS service or to migrate your existing
DNS service to the cloud.
See Also https://aws.amazon.com/route53.
Amazon Silk A next-generation web browser available only on Fire OS tablets and phones. Built
on a split architecture that divides processing between the client and the AWS
cloud, Amazon Silk is designed to create a faster, more responsive mobile browsing
experience.
Amazon Simple Email Service An easy-to-use, cost-effective email solution for applications.
(Amazon SES) See Also https://aws.amazon.com/ses.
Amazon Simple Notification A web service that enables applications, end-users, and devices to instantly send
Service (Amazon SNS) and receive notifications from the cloud.
See Also https://aws.amazon.com/sns.
Amazon Simple Queue Reliable and scalable hosted queues for storing messages as they travel between
Service (Amazon SQS) computers.
See Also https://aws.amazon.com/sqs.
Amazon Simple Storage Storage for the Internet. You can use it to store and retrieve any amount of data at
Service (Amazon S3) any time, from anywhere on the web.
See Also https://aws.amazon.com/s3.
Amazon Simple Workflow A fully managed service that helps developers build, run, and scale background
Service (Amazon SWF) jobs that have parallel or sequential steps. Amazon SWF is like a state tracker and
task coordinator in the cloud.
See Also https://aws.amazon.com/swf/.
Amazon Virtual Private Cloud A web service for provisioning a logically isolated section of the AWS cloud where
(Amazon VPC) you can launch AWS resource (p. 243)s in a virtual network that you define.
You control your virtual networking environment, including selection of your
own IP address range, creation of subnet (p. 249)s, and configuration of route
table (p. 244)s and network gateways.
See Also https://aws.amazon.com/vpc.
Amazon Web Services (AWS) An infrastructure web services platform in the cloud for companies of all sizes.
See Also https://aws.amazon.com/what-is-cloud-computing/.
Amazon WorkDocs A managed, secure enterprise document storage and sharing service with
administrative controls and feedback capabilities.
See Also https://aws.amazon.com/workdocs/.
Amazon WorkMail A managed, secure business email and calendar service with support for existing
desktop and mobile email clients.
See Also https://aws.amazon.com/workmail/.
Amazon WorkSpaces A managed, secure desktop computing service for provisioning cloud-
based desktops and providing users access to documents, applications, and
resource (p. 243)s from supported devices.
See Also https://aws.amazon.com/workspaces/.
Version 1.0
211
Amazon Web Services Referencia general
Amazon WorkSpaces A web service for deploying and managing applications for Amazon WorkSpaces.
Application Manager (Amazon Amazon WAM accelerates software deployment, upgrades, patching, and
WAM) retirement by packaging Windows desktop applications into virtualized application
containers.
See Also https://aws.amazon.com/workspaces/applicationmanager.
analysis scheme Amazon CloudSearch (p. 208): Language-specific text analysis options that are
applied to a text field to control stemming and configure stopwords and synonyms.
application AWS Elastic Beanstalk (p. 214): A logical collection of components, including
environments, versions, and environment configurations. An application is
conceptually similar to a folder.
AWS CodeDeploy (p. 214): A name that uniquely identifies the application to be
deployed. AWS CodeDeploy uses this name to ensure the correct combination of
revision, deployment configuration, and deployment group are referenced during a
deployment.
Application Billing The location where your customers manage the Amazon DevPay products they've
purchased. The web address is http://www.amazon.com/dp-applications.
application revision AWS CodeDeploy (p. 214): An archive file containing source content—such
as source code, web pages, executable files, and deployment scripts—along
with an application specification file (p. 212). Revisions are stored in Amazon
S3 (p. 211) bucket (p. 218)s or GitHub (p. 229) repositories. For Amazon S3,
a revision is uniquely identified by its Amazon S3 object key and its ETag, version,
or both. For GitHub, a revision is uniquely identified by its commit ID.
application specification file AWS CodeDeploy (p. 214): A YAML-formatted file used to map the source files in
an application revision to destinations on the instance; specify custom permissions
for deployed files; and specify scripts to be run on each instance at various stages
of the deployment process.
application version AWS Elastic Beanstalk (p. 214): A specific, labeled iteration of an application that
represents a functionally consistent set of deployable application code. A version
points to an Amazon S3 (p. 211) object (a JAVA WAR file) that contains the
application code.
AUC Area Under a Curve. An industry-standard metric to evaluate the quality of a binary
classification machine learning model. AUC measures the ability of the model
to predict a higher score for positive examples, those that are “correct,” than for
negative examples, those that are “incorrect.” The AUC metric returns a decimal
value from 0 to 1. AUC values near 1 indicate an ML model that is highly accurate.
artifact AWS CodePipeline (p. 214): A copy of the files or changes that will be worked
upon by the pipeline.
asymmetric encryption Encryption (p. 226) that uses both a public key and a private key.
asynchronous bounce A type of bounce (p. 218) that occurs when a receiver (p. 242) initially accepts
an email message for delivery and then subsequently fails to deliver it.
Version 1.0
212
Amazon Web Services Referencia general
attribute A fundamental data element, something that does not need to be broken down any
further. In DynamoDB, attributes are similar in many ways to fields or columns in
other database systems.
authenticated encryption Encryption (p. 226) that provides confidentiality, data integrity, and authenticity
assurances of the encrypted data.
Auto Scaling A web service designed to launch or terminate instance (p. 231)s automatically
based on user-defined policies (p. 239), schedules, and health check (p. 229)s.
See Also https://aws.amazon.com//autoscaling.
Auto Scaling group A representation of multiple EC2 instance (p. 225)s that share similar
characteristics, and that are treated as a logical grouping for the purposes of
instance scaling and management.
Availability Zone A distinct location within a region (p. 242) that is insulated from failures in other
Availability Zones, and provides inexpensive, low-latency network connectivity to
other Availability Zones in the same region.
AWS Application Discovery A web service that helps you plan to migrate to AWS by identifying IT assets
Service in a data center—including servers, virtual machines, applications, application
dependencies, and network infrastructure.
See Also https://aws.amazon.com/about-aws/whats-new/2016/04/aws-application-
discovery-service/.
AWS Billing and Cost The AWS cloud computing model in which you pay for services on demand and use
Management as much or as little at any given time as you need. While resource (p. 243)s are
active under your account, you pay for the cost of allocating those resources and
for any incidental usage associated with those resources, such as data transfer or
allocated storage.
See Also https://aws.amazon.com/billing/new-user-faqs/.
AWS Certificate Manager A web service for provisioning, managing, and deploying Secure Sockets
(ACM) Layer/Transport Layer Security (p. 252) (SSL/TLS) certificates for use with AWS
services.
See Also https://aws.amazon.com/certificate-manager/.
AWS CloudFormation A service for writing or changing templates that create and delete related AWS
resource (p. 243)s together as a unit.
See Also https://aws.amazon.com/cloudformation.
AWS CloudHSM A web service that helps you meet corporate, contractual, and regulatory
compliance requirements for data security by using dedicated hardware security
module (HSM) appliances within the AWS cloud.
See Also https://aws.amazon.com/cloudhsm/.
AWS CloudTrail A web service that records AWS API calls for your account and delivers log files to
you. The recorded information includes the identity of the API caller, the time of the
Version 1.0
213
Amazon Web Services Referencia general
API call, the source IP address of the API caller, the request parameters, and the
response elements returned by the AWS service.
See Also https://aws.amazon.com/cloudtrail/.
AWS CodeCommit A fully managed source control service that makes it easy for companies to host
secure and highly scalable private Git repositories.
See Also https://aws.amazon.com/codecommit.
AWS CodeDeploy A service that automates code deployments to any instance, including EC2
instance (p. 225)s and instance (p. 231)s running on-premises.
See Also https://aws.amazon.com/codedeploy.
AWS CodeDeploy agent A software package that, when installed and configured on an instance, enables
that instance to be used in AWS CodeDeploy deployments.
AWS CodePipeline A continuous delivery service for fast and reliable application updates.
See Also https://aws.amazon.com/codepipeline.
AWS Command Line Interface A unified downloadable and configurable tool for managing AWS services. Control
(AWS CLI) multiple AWS services from the command line and automate them through scripts.
See Also https://aws.amazon.com/cli/.
AWS Config A fully managed service that provides an AWS resource (p. 243) inventory,
configuration history, and configuration change notifications for better security and
governance. You can create rules that automatically check the configuration of
AWS resources that AWS Config records.
See Also https://aws.amazon.com/config/.
AWS Database Migration A web service that can help you migrate data to and from many widely used
Service commercial and open-source databases.
See Also https://aws.amazon.com/dms.
AWS Data Pipeline A web service for processing and moving data between different AWS compute and
storage services, as well as on-premises data sources, at specified intervals.
See Also https://aws.amazon.com/datapipeline.
AWS Device Farm An app testing service that allows developers to test Android, iOS, and Fire OS
devices on real, physical phones and tablets that are hosted by AWS.
See Also https://aws.amazon.com/device-farm.
AWS Direct Connect A web service that simplifies establishing a dedicated network connection from
your premises to AWS. Using AWS Direct Connect, you can establish private
connectivity between AWS and your data center, office, or colocation environment.
See Also https://aws.amazon.com/directconnect.
AWS Directory Service A managed service for connecting your AWS resource (p. 243)s to an existing
on-premises Microsoft Active Directory or to set up and operate a new, standalone
directory in the AWS cloud.
See Also https://aws.amazon.com/directoryservice.
AWS Elastic Beanstalk A web service for deploying and managing applications in the AWS cloud without
worrying about the infrastructure that runs those applications.
See Also https://aws.amazon.com/elasticbeanstalk.
AWS GovCloud (US) An isolated AWS Region designed to host sensitive workloads in the cloud,
ensuring that this work meets the US government's regulatory and compliance
requirements. The AWS GovCloud (US) Region adheres to United States
International Traffic in Arms Regulations (ITAR), Federal Risk and Authorization
Management Program (FedRAMP) requirements, Department of Defense (DOD)
Version 1.0
214
Amazon Web Services Referencia general
Cloud Security Requirements Guide (SRG) Levels 2 and 4, and Criminal Justice
Information Services (CJIS) Security Policy requirements.
See Also https://aws.amazon.com/govcloud-us/.
AWS Identity and Access A web service that enables Amazon Web Services (AWS) (p. 211) customers to
Management (IAM) manage users and user permissions within AWS.
See Also https://aws.amazon.com/iam.
AWS Import/Export A service for transferring large amounts of data between AWS and portable storage
devices.
See Also https://aws.amazon.com/importexport.
AWS IoT A managed cloud platform that lets connected devices easily and securely interact
with cloud applications and other devices.
See Also https://aws.amazon.com/iot.
AWS Key Management A managed service that simplifies the creation and control of encryption (p. 226)
Service (AWS KMS) keys that are used to encrypt data.
See Also https://aws.amazon.com/kms.
AWS Lambda A web service that lets you run code without provisioning or managing servers.
You can run code for virtually any type of application or back-end service with zero
administration. You can set up your code to automatically trigger from other AWS
services or call it directly from any web or mobile app.
See Also https://aws.amazon.com/lambda/.
AWS managed key One of two types of customer master key (CMK) (p. 222)s in AWS Key
Management Service (AWS KMS) (p. 215).
AWS managed policy An IAM (p. 215) managed policy (p. 234) that is created and managed by AWS.
AWS Management Console A graphical interface to manage compute, storage, and other cloud
resource (p. 243)s.
See Also https://aws.amazon.com/console.
AWS Management Portal for A web service for managing your AWS resource (p. 243)s using VMware vCenter.
vCenter You install the portal as a vCenter plug-in within your existing vCenter environment.
Once installed, you can migrate VMware VMs to Amazon EC2 (p. 209) and
manage AWS resources from within vCenter.
See Also https://aws.amazon.com/ec2/vcenter-portal/.
AWS Marketplace A web portal where qualified partners to market and sell their software to AWS
customers. AWS Marketplace is an online software store that helps customers find,
buy, and immediately start using the software and services that run on AWS.
See Also https://aws.amazon.com/partners/aws-marketplace/.
AWS Mobile Hub An integrated console that for building, testing, and monitoring mobile apps.
See Also https://aws.amazon.com/mobile.
AWS Mobile SDK A software development kit whose libraries, code samples, and documentation help
you build high quality mobile apps for the iOS, Android, Fire OS, Unity, and Xamarin
platforms.
See Also https://aws.amazon.com/mobile/sdk.
AWS OpsWorks A configuration management service that helps you use Chef to configure and
operate groups of instances and applications. You can define the application’s
architecture and the specification of each component including package installation,
software configuration, and resource (p. 243)s such as storage. You can
automate tasks based on time, load, lifecycle events, and more.
Version 1.0
215
Amazon Web Services Referencia general
AWS Organizations An account management service that enables you to consolidate multiple AWS
accounts into an organization that you create and centrally manage.
See Also https://aws.amazon.com/organizations/.
AWS SDK for Go A software development kit for integrating your Go application with the full suite of
AWS services.
See Also https://aws.amazon.com/sdk-for-go/.
AWS SDK for Java A software development kit that provides Java APIs for many AWS
services including Amazon S3 (p. 211), Amazon EC2 (p. 209), Amazon
DynamoDB (p. 208), and more. The single, downloadable package includes the
AWS Java library, code samples, and documentation.
See Also https://aws.amazon.com/sdkforjava/.
AWS SDK for JavaScript in A software development kit for accessing AWS services from JavaScript code
the Browser running in the browser. Authenticate users through Facebook, Google, or Login
with Amazon using web identity federation. Store application data in Amazon
DynamoDB (p. 208), and save user files to Amazon S3 (p. 211).
See Also https://aws.amazon.com/sdk-for-browser/.
AWS SDK for JavaScript in A software development kit for accessing AWS services from JavaScript in
Node.js Node.js. The SDK provides JavaScript objects for AWS services, including Amazon
S3 (p. 211), Amazon EC2 (p. 209), Amazon DynamoDB (p. 208), and Amazon
Simple Workflow Service (Amazon SWF) (p. 211) . The single, downloadable
package includes the AWS JavaScript library and documentation.
See Also https://aws.amazon.com/sdk-for-node-js/.
AWS SDK for .NET A software development kit that provides .NET API actions for AWS services
including Amazon S3 (p. 211), Amazon EC2 (p. 209), IAM (p. 215), and more.
You can download the SDK as multiple service-specific packages on NuGet.
See Also https://aws.amazon.com/sdkfornet/.
AWS SDK for PHP A software development kit and open-source PHP library for integrating your
PHP application with AWS services like Amazon S3 (p. 211), Amazon
Glacier (p. 210), and Amazon DynamoDB (p. 208).
See Also https://aws.amazon.com/sdkforphp/.
AWS SDK for Python (Boto) A software development kit for using Python to access AWS services like Amazon
EC2 (p. 209), Amazon EMR (p. 209), Auto Scaling (p. 213), Amazon
Kinesis (p. 210), AWS Lambda (p. 215), and more.
See Also http://boto.readthedocs.org/en/latest/.
AWS SDK for Ruby A software development kit for accessing AWS services from Ruby. The SDK
provides Ruby classes for many AWS services including Amazon S3 (p. 211),
Amazon EC2 (p. 209), Amazon DynamoDB (p. 208). and more. The single,
downloadable package includes the AWS Ruby Library and documentation.
See Also https://aws.amazon.com/sdkforruby/.
AWS Security Token Service A web service for requesting temporary, limited-privilege credentials for AWS
(AWS STS) Identity and Access Management (IAM) (p. 215) users or for users that you
authenticate (federated users (p. 228)).
See Also https://aws.amazon.com/iam/.
AWS Service Catalog A web service that helps organizations create and manage catalogs of IT services
that are approved for use on AWS. These IT services can include everything from
virtual machine images, servers, software, and databases to complete multitier
application architectures.
See Also https://aws.amazon.com/servicecatalog/.
Version 1.0
216
Amazon Web Services Referencia general
AWS Storage Gateway A web service that connects an on-premises software appliance with cloud-based
storage to provide seamless and secure integration between an organization’s on-
premises IT environment and AWS’s storage infrastructure.
See Also https://aws.amazon.com/storagegateway/.
AWS Toolkit for Eclipse An open-source plug-in for the Eclipse Java IDE that makes it easier for developers
to develop, debug, and deploy Java applications using Amazon Web Services.
See Also https://aws.amazon.com/eclipse/.
AWS Toolkit for Visual Studio An extension for Microsoft Visual Studio that helps developers develop, debug, and
deploy .NET applications using Amazon Web Services.
See Also https://aws.amazon.com/visualstudio/.
AWS Tools for Windows A set of PowerShell cmdlets to help developers and administrators manage their
PowerShell AWS services from the Windows PowerShell scripting environment.
See Also https://aws.amazon.com/powershell/.
AWS Trusted Advisor A web service that inspects your AWS environment and makes recommendations
for saving money, improving system availability and performance, and helping to
close security gaps.
See Also https://aws.amazon.com/premiumsupport/trustedadvisor/.
AWS VPN CloudHub Enables secure communication between branch offices using a simple hub-and-
spoke model, with or without a VPC (p. 253).
AWS WAF A web application firewall service that controls access to content by allowing or
blocking web requests based on criteria that you specify, such as header values
or the IP addresses that the requests originate from. AWS WAF helps protect web
applications from common web exploits that could affect application availability,
compromise security, or consume excessive resources.
See Also https://aws.amazon.com/waf/.
B
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
BGP ASN Border Gateway Protocol Autonomous System Number. A unique identifier for a
network, for use in BGP routing. Amazon EC2 (p. 209) supports all 2-byte ASN
numbers in the range of 1 – 65335, with the exception of 7224, which is reserved.
batch prediction Amazon Machine Learning: An operation that processes multiple input data
observations at one time (asynchronously). Unlike real-time predictions, batch
predictions are not available until all predictions have been processed.
See Also real-time predictions.
binary attribute Amazon Machine Learning: An attribute for which one of two possible values is
possible. Valid positive values are 1, y, yes, t, and true answers. Valid negative
values are 0, n, no, f, and false. Amazon Machine Learning outputs 1 for positive
values and 0 for negative values.
See Also attribute.
Version 1.0
217
Amazon Web Services Referencia general
binary classification model Amazon Machine Learning: A machine learning model that predicts the answer to
questions where the answer can be expressed as a binary variable. For example,
questions with answers of “1” or “0”, “yes” or “no”, “will click” or “will not click” are
questions that have binary answers. The result for a binary classification model
is always either a “1” (for a “true” or affirmative answers) or a “0” (for a “false” or
negative answers).
block A data set. Amazon EMR (p. 209) breaks large amounts of data into subsets.
Each subset is called a data block. Amazon EMR assigns an ID to each block and
uses a hash table to keep track of block processing.
block device A storage device that supports reading and (optionally) writing data in fixed-size
blocks, sectors, or clusters.
block device mapping A mapping structure for every AMI (p. 210) and instance (p. 231) that specifies
the block devices attached to the instance.
blue/green deployment AWS CodeDeploy: A deployment method in which the instances in a deployment
group (the original environment) are replaced by a different set of instances (the
replacement environment).
bootstrap action A user-specified default or custom action that runs a script or an application on all
nodes of a job flow before Hadoop (p. 229) starts.
breach Auto Scaling (p. 213): The condition in which a user-set threshold (upper or lower
boundary) is passed. If the duration of the breach is significant, as set by a breach
duration parameter, it can possibly start a scaling activity (p. 245).
bucket Amazon Simple Storage Service (Amazon S3) (p. 211): A container for stored
objects. Every object is contained in a bucket. For example, if the object named
photos/puppy.jpg is stored in the johnsmith bucket, then authorized users can
access the object with the URL http://johnsmith.s3.amazonaws.com/photos/
puppy.jpg.
bucket owner The person or organization that owns a bucket (p. 218) in Amazon S3 (p. 211).
Just as Amazon is the only owner of the domain name Amazon.com, only one
person or organization can own a bucket.
bundling A commonly used term for creating an Amazon Machine Image (AMI) (p. 210). It
specifically refers to creating instance store-backed AMI (p. 231)s.
C
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
cache cluster A logical cache distributed over multiple cache node (p. 219)s. A cache cluster
can be set up with a specific number of cache nodes.
Version 1.0
218
Amazon Web Services Referencia general
cache cluster identifier Customer-supplied identifier for the cache cluster that must be unique for that
customer in an AWS region (p. 242).
cache engine version The version of the Memcached service that is running on the cache node.
cache node A fixed-size chunk of secure, network-attached RAM. Each cache node runs an
instance of the Memcached service, and has its own DNS name and port. Multiple
types of cache nodes are supported, each with varying amounts of associated
memory.
cache node type An EC2 instance (p. 225) type used to run the cache node.
cache parameter group A container for cache engine parameter values that can be applied to one or more
cache clusters.
cache security group A group maintained by ElastiCache that combines ingress authorizations to cache
nodes for hosts belonging to Amazon EC2 (p. 209) security group (p. 246)s
specified through the console or the API or command line tools.
canned access policy A standard access control policy that you can apply to a bucket (p. 218) or object.
Options include: private, public-read, public-read-write, and authenticated-read.
canonicalization The process of converting data into a standard format that a service such as
Amazon S3 (p. 211) can recognize.
capacity The amount of available compute size at a given time. Each Auto Scaling
group (p. 213) is defined with a minimum and maximum compute size. A scaling
activity (p. 245) increases or decreases the capacity within the defined minimum
and maximum values.
cartesian product processor A processor that calculates a cartesian product. Also known as a cartesian data
processor.
cartesian product A mathematical operation that returns a product from multiple sets.
certificate A credential that some AWS products use to authenticate AWS account (p. 207)s
and users. Also known as an X.509 certificate (p. 254) . The certificate is paired
with a private key.
chargeable resources Features or services whose use incurs fees. Although some AWS products are
free, others include charges. For example, in an AWS CloudFormation (p. 213)
stack (p. 248), AWS resource (p. 243)s that have been created incur charges.
The amount charged depends on the usage load. Use the Amazon Web Services
Simple Monthly Calculator at http://calculator.s3.amazonaws.com/calc5.html to
estimate your cost prior to creating instances, stacks, or other resources.
CIDR block Classless Inter-Domain Routing. An Internet protocol address allocation and route
aggregation methodology.
See Also Classless Inter-Domain Routing in Wikipedia.
ciphertext Information that has been encrypted (p. 226), as opposed to plaintext (p. 239),
which is information that has not.
ClassicLink A feature for linking an EC2-Classic instance (p. 231) to a VPC (p. 253),
allowing your EC2-Classic instance to communicate with VPC instances using
private IP addresses.
See Also link to VPC, unlink from VPC.
classification In machine learning, a type of problem that seeks to place (classify) a data sample
into a single category or “class.” Often, classification problems are modeled to
choose one category (class) out of two. These are binary classification problems.
Version 1.0
219
Amazon Web Services Referencia general
Problems where more than two categories (classes) are available are called
"multiclass classification" problems.
See Also binary classification model, multiclass classification model.
cloud service provider A company that provides subscribers with access to Internet-hosted computing,
storage, and software services.
cluster A logical grouping of container instance (p. 221)s that you can place
task (p. 251)s on.
Amazon Elasticsearch Service (Amazon ES) (p. 209): A logical grouping of one
or more data nodes, optional dedicated master nodes, and storage required to run
Amazon Elasticsearch Service (Amazon ES) and operate your Amazon ES domain.
See Also data node, dedicated master node, node.
cluster compute instance A type of instance (p. 231) that provides a great amount of CPU power coupled
with increased networking performance, making it well suited for High Performance
Compute (HPC) applications and other demanding network-bound applications.
cluster placement group A logical cluster compute instance (p. 220) grouping to provide lower latency and
high-bandwidth connectivity between the instance (p. 231)s.
cluster status Amazon Elasticsearch Service (Amazon ES) (p. 209): An indicator of the health of
a cluster. A status can be green, yellow, or red. At the shard level, green means that
all shards are allocated to nodes in a cluster, yellow means that the primary shard is
allocated but the replica shards are not, and red means that the primary and replica
shards of at least one index are not allocated. The shard status determines the
index status, and the index status determines the cluster status.
CNAME Canonical Name Record. A type of resource record (p. 243) in the Domain Name
System (DNS) that specifies that the domain name is an alias of another, canonical
domain name. More simply, it is an entry in a DNS table that lets you alias one fully
qualified domain name to another.
complaint The event in which a recipient (p. 242) who does not want to receive an email
message clicks "Mark as Spam" within the email client, and the Internet service
provider (p. 231) sends a notification to Amazon SES (p. 211).
compound query Amazon CloudSearch (p. 208): A search request that specifies multiple search
criteria using the Amazon CloudSearch structured search syntax.
condition IAM (p. 215): Any restriction or detail about a permission. The condition is D in the
statement "A has permission to do B to C where D applies."
AWS WAF (p. 217): A set of attributes that AWS WAF searches for in web
requests to AWS resource (p. 243)s such as Amazon CloudFront (p. 208)
distributions. Conditions can include values such as the IP addresses that web
requests originate from or values in request headers. Based on the specified
conditions, you can configure AWS WAF to allow or block web requests to AWS
resources.
configuration API Amazon CloudSearch (p. 208): The API call that you use to create, configure, and
manage search domains.
Version 1.0
220
Amazon Web Services Referencia general
configuration template A series of key–value pairs that define parameters for various AWS products so that
AWS Elastic Beanstalk (p. 214) can provision them for an environment.
consistency model The method a service uses to achieve high availability. For example, it could involve
replicating data across multiple servers in a data center.
See Also eventual consistency.
consolidated billing A feature of the AWS Organizations service for consolidating payment for multiple
AWS accounts. You create an organization that contains your AWS accounts, and
you use the master account of your organization to pay for all member accounts.
You can see a combined view of AWS costs that are incurred by all accounts in
your organization, and you can get detailed cost reports for individual accounts.
container A Linux container that was created from a Docker image as part of a task (p. 251).
container definition Specifies which Docker image (p. 224) to use for a container (p. 221), how
much CPU and memory the container is allocated, and more options. The container
definition is included as part of a task definition (p. 251).
container instance An EC2 instance (p. 225) that is running the Amazon EC2 Container Service
(Amazon ECS) (p. 209) agent and has been registered into a cluster (p. 220).
Amazon ECS task (p. 251)s are placed on active container instances.
container registry Stores, manages, and deploys Docker image (p. 224)s.
continuous delivery A software development practice in which code changes are automatically built,
tested, and prepared for a release to production.
See Also https://aws.amazon.com/devops/continuous-delivery/.
continuous integration A software development practice in which developers regularly merge code
changes into a central repository, after which automated builds and tests are run.
See Also https://aws.amazon.com/devops/continuous-integration/.
cooldown period Amount of time during which Auto Scaling (p. 213) does not allow the desired size
of the Auto Scaling group (p. 213) to be changed by any other notification from an
Amazon CloudWatch (p. 208) alarm (p. 207).
core node An EC2 instance (p. 225) that runs Hadoop (p. 229) map and reduce tasks and
stores data using the Hadoop Distributed File System (HDFS). Core nodes are
managed by the master node (p. 234), which assigns Hadoop tasks to nodes and
monitors their status. The EC2 instances you assign as core nodes are capacity
that must be allotted for the entire job flow run. Because core nodes store data, you
can't remove them from a job flow. However, you can add more core nodes to a
running job flow.
Core nodes run both the DataNodes and TaskTracker Hadoop daemons.
corpus Amazon CloudSearch (p. 208): A collection of data that you want to search.
credential helper AWS CodeCommit (p. 214): A program that stores credentials for repositories
and supplies them to Git when making connections to those repositories. The
AWS CLI (p. 214) includes a credential helper that you can use with Git when
connecting to AWS CodeCommit repositories.
Version 1.0
221
Amazon Web Services Referencia general
cross-account access The process of permitting limited, controlled use of resource (p. 243)s in one
AWS account (p. 207) by a user in another AWS account. For example, in AWS
CodeCommit (p. 214) and AWS CodeDeploy (p. 214) you can configure cross-
account access so that a user in AWS account A can access an AWS CodeCommit
repository created by account B. Or a pipeline in AWS CodePipeline (p. 214)
created by account A can use AWS CodeDeploy resources created by account B.
In IAM (p. 215) you use a role (p. 244) to delegate (p. 223) temporary access
to a user (p. 252) in one account to resources in another.
customer gateway A router or software application on your side of a VPN tunnel that is managed
by Amazon VPC (p. 211). The internal interfaces of the customer gateway are
attached to one or more devices in your home network. The external interface is
attached to the virtual private gateway (p. 253) across the VPN tunnel.
customer managed policy An IAM (p. 215) managed policy (p. 234) that you create and manage in your
AWS account (p. 207).
customer master key (CMK) The fundamental resource (p. 243) that AWS Key Management Service (AWS
KMS) (p. 215) manages. CMKs can be either customer managed keys or AWS
managed keys. Use CMKs inside AWS KMS to encrypt (p. 226) or decrypt up to 4
kilobytes of data directly or to encrypt generated data keys, which are then used to
encrypt or decrypt larger amounts of data outside of the service.
D
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
data consistency A concept that describes when data is written or updated successfully and all
copies of the data are updated in all AWS region (p. 242)s. However, it takes
time for the data to propagate to all storage locations. To support varied application
requirements, Amazon DynamoDB (p. 208) supports both eventually consistent
and strongly consistent reads.
See Also eventual consistency, eventually consistent read, strongly consistent read.
data node Amazon Elasticsearch Service (Amazon ES) (p. 209): An Elasticsearch instance
that holds data and responds to data upload requests.
See Also dedicated master node, node.
data source The database, file, or repository that provides information required by an application
or database. For example, in AWS OpsWorks (p. 215), valid data sources
include an instance (p. 231) for a stack’s MySQL layer or a stack’s Amazon
RDS (p. 210) service layer. In Amazon Redshift (p. 210), valid data sources
include text files in an Amazon S3 (p. 211) bucket (p. 218), in an Amazon
EMR (p. 209) cluster, or on a remote host that a cluster can access through an
SSH connection.
See Also datasource.
database engine The database software and version running on the DB instance (p. 223).
Version 1.0
222
Amazon Web Services Referencia general
database name The name of a database hosted in a DB instance (p. 223). A DB instance can host
multiple databases, but databases hosted by the same DB instance must each have
a unique name within that instance.
datasource Amazon Machine Learning (p. 210): An object that contains metadata about the
input data. Amazon ML reads the input data, computes descriptive statistics on its
attributes, and stores the statistics—along with a schema and other information—as
part of the datasource object. Amazon ML uses datasources to train and evaluate a
machine learning model and generate batch predictions.
See Also data source.
DB compute class Size of the database compute platform used to run the instance.
DB instance An isolated database environment running in the cloud. A DB instance can contain
multiple user-created databases.
DB instance identifier User-supplied identifier for the DB instance. The identifier must be unique for that
user in an AWS region (p. 242).
DB parameter group A container for database engine parameter values that apply to one or more DB
instance (p. 223)s.
DB security group A method that controls access to the DB instance (p. 223). By default, network
access is turned off to DB instances. After ingress is configured for a security
group (p. 246), the same rules apply to all DB instances associated with that
group.
Dedicated Host A physical server with EC2 instance (p. 225) capacity fully dedicated to a user.
Dedicated Instance An instance (p. 231) that is physically isolated at the host hardware level and
launched within a VPC (p. 253).
dedicated master node Amazon Elasticsearch Service (Amazon ES) (p. 209): An Elasticsearch instance
that performs cluster management tasks, but does not hold data or respond to
data upload requests. Amazon Elasticsearch Service (Amazon ES) uses dedicated
master nodes to increase cluster stability.
See Also data node, node.
Dedicated Reserved Instance An option that you purchase to guarantee that sufficient capacity will be available to
launch Dedicated Instance (p. 223)s into a VPC (p. 253).
delegation Within a single AWS account (p. 207): Giving AWS user (p. 252)s access to
resource (p. 243)s in your AWS account.
Between two AWS accounts: Setting up a trust between the account that owns the
resource (the trusting account), and the account that contains the users that need to
access the resource (the trusted account).
See Also trust policy.
delete marker An object with a key and version ID, but without content. Amazon S3 (p. 211)
inserts delete markers automatically into versioned bucket (p. 218)s when an
object is deleted.
deliverability The likelihood that an email message will arrive at its intended destination.
deliveries The number of email messages, sent through Amazon SES (p. 211),
that were accepted by an Internet service provider (p. 231) for delivery to
recipient (p. 242)s over a period of time.
Version 1.0
223
Amazon Web Services Referencia general
deny The result of a policy (p. 239) statement that includes deny as the effect, so that a
specific action or actions are expressly forbidden for a user, group, or role. Explicit
deny take precedence over explicit allow (p. 207).
deployment configuration AWS CodeDeploy (p. 214): A set of deployment rules and success and failure
conditions used by the service during a deployment.
deployment group AWS CodeDeploy (p. 214): A set of individually tagged instance (p. 231)s, EC2
instance (p. 225)s in Auto Scaling group (p. 213)s, or both.
Description property A property added to parameters, resource (p. 243)s, resource properties,
mappings, and outputs to help you to document AWS CloudFormation (p. 213)
template elements.
discussion forums A place where AWS users can post technical questions and feedback to help
accelerate their development efforts and to engage with the AWS community. The
discussion forums are located at https://aws.amazon.com/forums/.
DKIM DomainKeys Identified Mail. A standard that email senders use to sign their
messages. ISPs use those signatures to verify that messages are legitimate. For
more information, see http://www.dkim.org.
Docker image A layered file system template that is the basis of a Docker container (p. 221).
Docker images can comprise specific operating systems or applications.
document Amazon CloudSearch (p. 208): An item that can be returned as a search result.
Each document has a collection of fields that contain the data that can be searched
or returned. The value of a field can be either a string or a number. Each document
must have a unique ID and at least one field.
document batch Amazon CloudSearch (p. 208): A collection of add and delete document
operations. You use the document service API to submit batches to update the data
in your search domain.
document service API Amazon CloudSearch (p. 208): The API call that you use to submit document
batches to update the data in a search domain.
document service endpoint Amazon CloudSearch (p. 208): The URL that you connect to when sending
document updates to an Amazon CloudSearch domain. Each search domain has a
unique document service endpoint that remains the same for the life of the domain.
domain Amazon Elasticsearch Service (Amazon ES) (p. 209): The hardware, software,
and data exposed by Amazon Elasticsearch Service (Amazon ES) endpoints.
An Amazon ES domain is a service wrapper around an Elasticsearch cluster. An
Amazon ES domain encapsulates the engine instances that process Amazon
ES requests, the indexed data that you want to search, snapshots of the domain,
access policies, and metadata.
See Also cluster, Elasticsearch.
Version 1.0
224
Amazon Web Services Referencia general
Domain Name System A service that routes Internet traffic to websites by translating friendly domain
names like www.example.com into the numeric IP addresses like 192.0.2.1 that
computers use to connect to each other.
Donation button An HTML-coded button to provide an easy and secure way for US-based, IRS-
certified 501(c)3 nonprofit organizations to solicit donations.
E
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
EC2 compute unit An AWS standard for compute CPU and memory. You can use this measure to
evaluate the CPU capacity of different EC2 instance (p. 225) types.
EC2 instance A compute instance (p. 231) in the Amazon EC2 (p. 209) service. Other AWS
services use the term EC2 instance to distinguish these instances from other types
of instances they support.
edge location A site that CloudFront (p. 208) uses to cache copies of your content for faster
delivery to users at any location.
Elastic Block Store See Amazon Elastic Block Store (Amazon EBS).
Elastic IP address A fixed (static) IP address that you have allocated in Amazon EC2 (p. 209) or
Amazon VPC (p. 211) and then attached to an instance (p. 231). Elastic IP
addresses are associated with your account, not a specific instance. They are
elastic because you can easily allocate, attach, detach, and free them as your
needs change. Unlike traditional static IP addresses, Elastic IP addresses allow you
to mask instance or Availability Zone (p. 213) failures by rapidly remapping your
public IP addresses to another instance.
Elastic Load Balancing A web service that improves an application's availability by distributing incoming
traffic between two or more EC2 instance (p. 225)s.
See Also https://aws.amazon.com/elasticloadbalancing.
Version 1.0
225
Amazon Web Services Referencia general
elastic network interface An additional network interface that can be attached to an instance (p. 231). ENIs
include a primary private IP address, one or more secondary private IP addresses,
an elastic IP address (optional), a MAC address, membership in specified security
group (p. 246)s, a description, and a source/destination check flag. You can
create an ENI, attach it to an instance, detach it from an instance, and attach it to
another instance.
Elasticsearch An open source, real-time distributed search and analytics engine used for full-
text search, structured search, and analytics. Elasticsearch was developed by the
Elastic company.
encryption context A set of key–value pairs that contains additional information associated with AWS
Key Management Service (AWS KMS) (p. 215)–encrypted information.
endpoint A URL that identifies a host and port as the entry point for a web service. Every
web service request contains an endpoint. Most AWS products provide regional
endpoints to enable faster connectivity.
Amazon ElastiCache (p. 209): The DNS name of a cache node (p. 219).
Amazon RDS (p. 210): The DNS name of a DB instance (p. 223).
AWS CloudFormation (p. 213): The DNS name or IP address of the server that
receives an HTTP request.
endpoint port Amazon ElastiCache (p. 209): The port number used by a cache node (p. 219).
Amazon RDS (p. 210): The port number used by a DB instance (p. 223).
envelope encryption The use of a master key and a data key to algorithmically protect data. The master
key is used to encrypt and decrypt the data key and the data key is used to encrypt
and decrypt the data itself.
environment configuration A collection of parameters and settings that define how an environment and its
associated resources behave.
epoch The date from which time is measured. For most Unix environments, the epoch is
January 1, 1970.
Version 1.0
226
Amazon Web Services Referencia general
evaluation Amazon Machine Learning: The process of measuring the predictive performance
of a machine learning (ML) model.
Also a machine learning object that stores the details and result of an ML model
evaluation.
evaluation datasource The data that Amazon Machine Learning uses to evaluate the predictive accuracy
of a machine learning model.
eventual consistency The method through which AWS products achieve high availability, which involves
replicating data across multiple servers in Amazon's data centers. When data is
written or updated and Success is returned, all copies of the data are updated.
However, it takes time for the data to propagate to all storage locations. The data
will eventually be consistent, but an immediate read might not show the change.
Consistency is usually reached within seconds.
See Also data consistency, eventually consistent read, strongly consistent read.
eventually consistent read A read process that returns data from only one region and might not show the most
recent write information. However, if you repeat your read request after a short time,
the response should eventually return the latest data.
See Also data consistency, eventual consistency, strongly consistent read.
eviction The deletion by CloudFront (p. 208) of an object from an edge location (p. 225)
before its expiration time. If an object in an edge location isn't frequently requested,
CloudFront might evict the object (remove the object before its expiration date) to
make room for objects that are more popular.
expiration For CloudFront (p. 208) caching, the time when CloudFront stops responding
to user requests with an object. If you don't use headers or CloudFront
distribution (p. 224) settings to specify how long you want objects to stay in
an edge location (p. 225), the objects expire after 24 hours. The next time a
user requests an object that has expired, CloudFront forwards the request to the
origin (p. 238).
explicit launch permission An Amazon Machine Image (AMI) (p. 210) launch permission granted to a specific
AWS account (p. 207).
exponential backoff A strategy that incrementally increases the wait between retry attempts in order to
reduce the load on the system and increase the likelihood that repeated requests
will succeed. For example, client applications might wait up to 400 milliseconds
before attempting the first retry, up to 1600 milliseconds before the second, up to
6400 milliseconds (6.4 seconds) before the third, and so on.
expression Amazon CloudSearch (p. 208): A numeric expression that you can use to control
how search hits are sorted. You can construct Amazon CloudSearch expressions
using numeric fields, other rank expressions, a document's default relevance score,
and standard numeric operators and functions. When you use the sort option to
specify an expression in a search request, the expression is evaluated for each
search hit and the hits are listed according to their expression values.
F
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
Version 1.0
227
Amazon Web Services Referencia general
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
facet Amazon CloudSearch (p. 208): An index field that represents a category that you
want to use to refine and filter search results.
facet enabled Amazon CloudSearch (p. 208): An index field option that enables facet
information to be calculated for the field.
feature transformation Amazon Machine Learning: The machine learning process of constructing more
predictive input representations or “features” from the raw input variables to
optimize a machine learning model’s ability to learn and generalize. Also known as
data transformation or feature engineering.
federated identity Allows individuals to sign in to different networks or services, using the same
management group or personal credentials to access data across all networks. With identity
federation in AWS, external identities (federated users) are granted secure access
to resource (p. 243)s in an AWS account (p. 207) without having to create IAM
user (p. 252)s. These external identities can come from a corporate identity store
(such as LDAP or Windows Active Directory) or from a third party (such as Login
with Amazon, Facebook, or Google). AWS federation also supports SAML 2.0.
feedback loop The mechanism by which a mailbox provider (for example, an Internet service
provider (p. 231)) forwards a recipient (p. 242)'s complaint (p. 220) back to the
sender (p. 246).
field weight The relative importance of a text field in a search index. Field weights control how
much matches in particular text fields affect a document's relevance score.
filter A criterion that you specify to limit the results when you list or describe your
Amazon EC2 (p. 209) resource (p. 243)s.
filter query A way to filter search results without affecting how the results are scored and
sorted. Specified with the Amazon CloudSearch (p. 208) fq parameter.
fuzzy search A simple search query that uses approximate string matching (fuzzy matching) to
correct for typographical errors and misspellings.
G
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
Version 1.0
228
Amazon Web Services Referencia general
geospatial search A search query that uses locations specified as a latitude and longitude to
determine matches and sort the results.
global secondary index An index with a partition key and a sort key that can be different from those on the
table. A global secondary index is considered global because queries on the index
can span all of the data in a table, across all partitions.
See Also local secondary index.
grant AWS Key Management Service (AWS KMS) (p. 215): A mechanism for giving
AWS principal (p. 240)s long-term permissions to use customer master key
(CMK) (p. 222)s.
grant token A type of identifier that allows the permissions in a grant (p. 229) to take effect
immediately.
ground truth The observations used in the machine learning (ML) model training process that
include the correct value for the target attribute. To train an ML model to predict
house sales prices, the input observations would typically include prices of previous
house sales in the area. The sale prices of these houses constitute the ground truth.
group A collection of IAM (p. 215) user (p. 252)s. You can use IAM groups to simplify
specifying and managing permissions for multiple users.
H
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
Hadoop Software that enables distributed processing for big data by using clusters and
simple programming models. For more information, see http://hadoop.apache.org.
hard bounce A persistent email delivery failure such as "mailbox does not exist."
health check A system call to check on the health status of each instance in an Auto
Scaling (p. 213) group.
high-quality email Email that recipients find valuable and want to receive. Value means different
things to different recipients and can come in the form of offers, order confirmations,
receipts, newsletters, etc.
highlights Amazon CloudSearch (p. 208): Excerpts returned with search results that show
where the search terms appear within the text of the matching documents.
highlight enabled Amazon CloudSearch (p. 208): An index field option that enables matches within
the field to be highlighted.
hit A document that matches the criteria specified in a search request. Also referred to
as a search result.
Version 1.0
229
Amazon Web Services Referencia general
combination with a secret key. You can use it to verify both the data integrity and
the authenticity of a message at the same time. AWS calculates the HMAC using a
standard, cryptographic hash algorithm, such as SHA-256.
hosted zone A collection of resource record (p. 243) sets that Amazon Route 53 (p. 211)
hosts. Like a traditional DNS zone file, a hosted zone represents a collection of
records that are managed together under a single domain name.
HVM virtualization Hardware Virtual Machine virtualization. Allows the guest VM to run as though it is
on a native hardware platform, except that it still uses paravirtual (PV) network and
storage drivers for improved performance.
See Also PV virtualization.
I
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
Identity and Access See AWS Identity and Access Management (IAM).
Management
identity provider (IdP) An IAM (p. 215) entity that holds metadata about external identity providers.
import/export station A machine that uploads or downloads your data to or from Amazon S3 (p. 211).
import log A report that contains details about how AWS Import/Export (p. 215) processed
your data.
in-place deployment AWS CodeDeploy: A deployment method in which the application on each instance
in the deployment group is stopped, the latest application revision is installed, and
the new version of the application is started and validated. You can choose to use
a load balancer so each instance is deregistered during its deployment and then
restored to service after the deployment is complete.
index field A name–value pair that is included in an Amazon CloudSearch (p. 208) domain's
index. An index field can contain text or numeric data, dates, or a location.
indexing options Configuration settings that define an Amazon CloudSearch (p. 208) domain's
index fields, how document data is mapped to those index fields, and how the index
fields can be used.
inline policy An IAM (p. 215) policy (p. 239) that is embedded in a single IAM user (p. 252),
group (p. 229), or role (p. 244).
Version 1.0
230
Amazon Web Services Referencia general
input data Amazon Machine Learning: The observations that you provide to Amazon Machine
Learning to train and evaluate a machine learning model and generate predictions.
instance A copy of an Amazon Machine Image (AMI) (p. 210) running as a virtual server in
the AWS cloud.
instance family A general instance type (p. 231) grouping using either storage or CPU capacity.
instance group A Hadoop (p. 229) cluster contains one master instance group that contains
one master node (p. 234), a core instance group containing one or more core
node (p. 221) and an optional task node (p. 251) instance group, which can
contain any number of task nodes.
instance profile A container that passes IAM (p. 215) role (p. 244) information to an EC2
instance (p. 225) at launch.
instance store Disk storage that is physically attached to the host computer for an EC2
instance (p. 225), and therefore has the same lifespan as the instance. When the
instance is terminated, you lose any data in the instance store.
instance store-backed AMI A type of Amazon Machine Image (AMI) (p. 210) whose instance (p. 231)s use
an instance store (p. 231) volume (p. 253) as the root device. Compare this
with instances launched from Amazon EBS (p. 208)-backed AMIs, which use an
Amazon EBS volume as the root device.
instance type A specification that defines the memory, CPU, storage capacity, and hourly cost for
an instance (p. 231). Some instance types are designed for standard applications,
whereas others are designed for CPU-intensive, memory-intensive applications,
and so on.
Internet gateway Connects a network to the Internet. You can route traffic for IP addresses outside
your VPC (p. 253) to the Internet gateway.
Internet service provider A company that provides subscribers with access to the Internet. Many ISPs are
also mailbox provider (p. 234)s. Mailbox providers are sometimes referred to as
ISPs, even if they only provide mailbox services.
intrinsic function A special action in a AWS CloudFormation (p. 213) template that assigns
values to properties not available until runtime. These functions follow the format
Fn::Attribute, such as Fn::GetAtt. Arguments for intrinsic functions can be
parameters, pseudo parameters, or the output of other intrinsic functions.
IP address A numerical address (for example, 192.0.2.44) that networked devices use
to communicate with one another using the Internet Protocol (IP). All EC2
instance (p. 225)s are assigned two IP addresses at launch, which are directly
mapped to each other through network address translation (NAT (p. 236)):
a private IP address (following RFC 1918) and a public IP address. Instances
launched in a VPC (p. 211) are assigned only a private IP address. Instances
launched in your default VPC are assigned both a private IP address and a public
IP address.
IP match condition AWS WAF (p. 217): An attribute that specifies the IP addresses or IP
address ranges that web requests originate from. Based on the specified IP
addresses, you can configure AWS WAF to allow or block web requests to AWS
resource (p. 243)s such as Amazon CloudFront (p. 208) distributions.
issuer The person who writes a policy (p. 239) to grant permissions to a
resource (p. 243). The issuer (by definition) is always the resource owner. AWS
Version 1.0
231
Amazon Web Services Referencia general
does not permit Amazon SQS (p. 211) users to create policies for resources they
don't own. If John is the resource owner, AWS authenticates John's identity when
he submits the policy he's written to grant permissions for that resource.
item A group of attributes that is uniquely identifiable among all of the other items. Items
in Amazon DynamoDB (p. 208) are similar in many ways to rows, records, or
tuples in other database systems.
J
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
job flow Amazon EMR (p. 209): One or more step (p. 249)s that specify all of the
functions to be performed on the data.
job prefix An optional string that you can add to the beginning of an AWS Import/
Export (p. 215) log file name to prevent collisions with objects of the same name.
See Also key prefix.
JSON JavaScript Object Notation. A lightweight data interchange format. For information
about JSON, see http://www.json.org/.
junk folder The location where email messages that various filters determine to be of lesser
value are collected so that they do not arrive in the recipient (p. 242)'s inbox but
are still accessible to the recipient. This is also referred to as a spam (p. 248) or
bulk folder.
K
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
key A credential that identifies an AWS account (p. 207) or user (p. 252) to AWS
(such as the AWS secret access key (p. 246)).
Amazon Simple Storage Service (Amazon S3) (p. 211), Amazon EMR (Amazon
EMR) (p. 209): The unique identifier for an object in a bucket (p. 218). Every
object in a bucket has exactly one key. Because a bucket and key together uniquely
identify each object, you can think of Amazon S3 as a basic data map between
the bucket + key, and the object itself. You can uniquely address every object
in Amazon S3 through the combination of the web service endpoint, bucket
name, and key, as in this example: http://doc.s3.amazonaws.com/2006-03-01/
AmazonS3.wsdl, where doc is the name of the bucket, and 2006-03-01/
AmazonS3.wsdl is the key.
Version 1.0
232
Amazon Web Services Referencia general
If a key, for example, logPrefix + import-log-JOBID, is longer than 1024 bytes, AWS
Elastic Beanstalk (p. 214) returns an InvalidManifestField error.
IAM (p. 215): In a policy (p. 239), a specific characteristic that is the basis for
restricting access (such as the current time, or the IP address of the requester).
Tagging resources: A general tag (p. 250) label that acts like a category for more
specific tag values. For example, you might have EC2 instance (p. 225) with the
tag key of Owner and the tag value of Jan. You can tag an AWS resource (p. 243)
with up to 10 key–value pairs. Not all AWS resources can be tagged.
key pair A set of security credentials that you use to prove your identity electronically. A key
pair consists of a private key and a public key.
key prefix A logical grouping of the objects in a bucket (p. 218). The prefix value is similar to
a directory name that enables you to store similar data under the same directory in
a bucket.
kibibyte A contraction of kilo binary byte, a kibibyte is 2^10 or 1,024 bytes. A kilobyte (KB) is
10^3 or 1,000 bytes. 1,024 KiB is a mebibyte (p. 235).
L
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
labeled data In machine learning, data for which you already know the target or “correct” answer.
launch configuration A set of descriptive parameters used to create new EC2 instance (p. 225)s in an
Auto Scaling (p. 213) activity.
A template that an Auto Scaling group (p. 213) uses to launch new EC2
instances. The launch configuration contains information such as the Amazon
Machine Image (AMI) (p. 210) ID, the instance type, key pairs, security
group (p. 246)s, and block device mappings, among other configuration settings.
launch permission An Amazon Machine Image (AMI) (p. 210) attribute that allows users to launch an
AMI.
lifecycle The lifecycle state of the EC2 instance (p. 225) contained in an Auto Scaling
group (p. 213). EC2 instances progress through several states over their lifespan;
these include Pending, InService, Terminating and Terminated.
lifecycle action An action that can be paused by Auto Scaling, such as launching or terminating an
EC2 instance.
lifecycle hook Enables you to pause Auto Scaling after it launches or terminates an EC2 instance
so that you can perform a custom action while the instance is not in service.
link to VPC The process of linking (or attaching) an EC2-Classic instance (p. 231) to a
ClassicLink-enabled VPC (p. 253).
See Also ClassicLink, unlink from VPC.
load balancer A DNS name combined with a set of ports, which together provide a destination
for all requests intended for your application. A load balancer can distribute traffic
to multiple application instances across every Availability Zone (p. 213) within a
Version 1.0
233
Amazon Web Services Referencia general
region (p. 242). Load balancers can span multiple Availability Zones within an
Amazon EC2 (p. 209) region, but they cannot span multiple regions.
local secondary index An index that has the same partition key as the table, but a different sort key. A
local secondary index is local in the sense that every partition of a local secondary
index is scoped to a table partition that has the same partition key value.
See Also local secondary index.
logical name A case-sensitive unique string within an AWS CloudFormation (p. 213) template
that identifies a resource (p. 243), mapping (p. 234), parameter, or output. In
an AWS CloudFormation template, each parameter, resource (p. 243), property,
mapping, and output must be declared with a unique logical name. You use the
logical name when dereferencing these items using the Ref function.
M
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
Mail Transfer Agent (MTA) Software that transports email messages from one computer to another by using a
client-server architecture.
mailbox provider An organization that provides email mailbox hosting services. Mailbox providers
are sometimes referred to as Internet service provider (p. 231)s, even if they only
provide mailbox services.
mailbox simulator A set of email addresses that you can use to test an Amazon SES (p. 211)-based
email sending application without sending messages to actual recipients. Each
email address represents a specific scenario (such as a bounce or complaint) and
generates a typical response that is specific to the scenario.
main route table The default route table (p. 244) that any new VPC (p. 253) subnet (p. 249)
uses for routing. You can associate a subnet with a different route table of your
choice. You can also change which route table is the main route table.
managed policy A standalone IAM (p. 215) policy (p. 239) that you can attach to multiple
user (p. 252)s, group (p. 229)s, and role (p. 244)s in your IAM
account (p. 207). Managed policies can either be AWS managed policies (which
are created and managed by AWS) or customer managed policies (which you
create and manage in your AWS account).
manifest When sending a create job request for an import or export operation, you describe
your job in a text file called a manifest. The manifest file is a YAML-formatted file
that specifies how to transfer data between your storage device and the AWS cloud.
manifest file Amazon Machine Learning: The file used for describing batch predictions. The
manifest file relates each input data file with its associated batch prediction results.
It is stored in the Amazon S3 output location.
mapping A way to add conditional parameter values to an AWS CloudFormation (p. 213)
template. You specify mappings in the template's optional Mappings section and
retrieve the desired value using the FN::FindInMap function.
master node A process running on an Amazon Machine Image (AMI) (p. 210) that keeps track
of the work its core and task nodes complete.
Version 1.0
234
Amazon Web Services Referencia general
maximum price The maximum price you will pay to launch one or more Spot Instance (p. 248)s. If
your maximum price exceeds the current Spot price (p. 248) and your restrictions
are met, Amazon EC2 (p. 209) launches instances on your behalf.
maximum send rate The maximum number of email messages that you can send per second using
Amazon SES (p. 211).
message ID Amazon Simple Email Service (Amazon SES) (p. 211): A unique identifier that is
assigned to every email message that is sent.
Amazon Simple Queue Service (Amazon SQS) (p. 211): The identifier returned
when you send a message to a queue.
metadata Information about other data or objects. In Amazon Simple Storage Service
(Amazon S3) (p. 211) and Amazon EMR (Amazon EMR) (p. 209) metadata
takes the form of name–value pairs that describe the object. These include default
metadata such as the date last modified and standard HTTP metadata such as
Content-Type. Users can also specify custom metadata at the time they store an
object. In Amazon Elastic Compute Cloud (Amazon EC2) (p. 209) metadata
includes data about an EC2 instance (p. 225) that the instance can retrieve to
determine things about itself, such as the instance type, the IP address, and so on.
metric name The primary identifier of a metric, used in combination with a namespace (p. 236)
and optional dimensions.
micro instance A type of EC2 instance (p. 225) that is more economical to use if you have
occasional bursts of high CPU activity.
Multi-AZ deployment A primary DB instance (p. 223) that has a synchronous standby replica in a
different Availability Zone (p. 213). The primary DB instance is synchronously
replicated across Availability Zones to the standby replica.
multiclass classification model A machine learning model that predicts values that belong to a limited, pre-defined
set of permissible values. For example, "Is this product a book, movie, or clothing?"
multi-factor authentication An optional AWS account (p. 207) security feature. Once you enable AWS
(MFA) MFA, you must provide a six-digit, single-use code in addition to your sign-in
Version 1.0
235
Amazon Web Services Referencia general
credentials whenever you access secure AWS webpages or the AWS Management
Console (p. 215). You get this single-use code from an authentication device that
you keep in your physical possession.
See Also https://aws.amazon.com/mfa/.
multipart upload A feature that allows you to upload a single object as a set of parts.
Multipurpose Internet Mail An Internet standard that extends the email protocol to include non-ASCII text and
Extensions (MIME) nontext elements like attachments.
N
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
namespace An abstract container that provides context for the items (names, or technical terms,
or words) it holds, and allows disambiguation of homonym items residing in different
namespaces.
NAT gateway A NAT (p. 236) device, managed by AWS, that performs network address
translation in a private subnet (p. 249), to secure inbound Internet traffic. A NAT
gateway uses both NAT and port address translation.
See Also NAT instance.
NAT instance A NAT (p. 236) device, configured by a user, that performs network address
translation in a VPC (p. 253) public subnet (p. 249) to secure inbound Internet
traffic.
See Also NAT gateway.
network ACL An optional layer of security that acts as a firewall for controlling traffic in and out
of a subnet (p. 249). You can associate multiple subnets with a single network
ACL (p. 206), but a subnet can be associated with only one network ACL at a
time.
Network Address Translation (NAT (p. 236)-PT) An Internet protocol standard defined in RFC 2766.
and Protocol Translation See Also NAT instance, NAT gateway.
n-gram transformation Amazon Machine Learning: A transformation that aids in text string analysis.
An n-gram transformation takes a text variable as input and outputs strings by
sliding a window of size n words, where n is specified by the user, over the text,
and outputting every string of words of size n and all smaller sizes. For example,
Version 1.0
236
Amazon Web Services Referencia general
specifying the n-gram transformation with window size =2 returns all the two-word
combinations and all of the single words.
node Amazon Elasticsearch Service (Amazon ES) (p. 209): An Elasticsearch instance.
A node can be either a data instance or a dedicated master instance.
See Also dedicated master node.
NoEcho A property of AWS CloudFormation (p. 213) parameters that prevent the
otherwise default reporting of names and values of a template parameter. Declaring
the NoEcho property causes the parameter value to be masked with asterisks in the
report by the cfn-describe-stacks command.
NoSQL Nonrelational database systems that are highly available, scalable, and optimized
for high performance. Instead of the relational model, NoSQL databases (like
Amazon DynamoDB (p. 208)) use alternate models for data management, such
as key–value pairs or document storage.
null object A null object is one whose version ID is null. Amazon S3 (p. 211) adds a
null object to a bucket (p. 218) when versioning (p. 253) for that bucket is
suspended. It is possible to have only one null object for each key in a bucket.
number of passes The number of times that you allow Amazon Machine Learning to use the same
data records to train a machine learning model.
O
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
object Amazon Simple Storage Service (Amazon S3) (p. 211): The fundamental entity
type stored in Amazon S3. Objects consist of object data and metadata. The data
portion is opaque to Amazon S3.
Amazon CloudFront (p. 208): Any entity that can be served either over HTTP or a
version of RTMP.
observation Amazon Machine Learning: A single instance of data that Amazon Machine
Learning (Amazon ML) uses to either train a machine learning model how to
predict or to generate a prediction. Each row in an Amazon ML input data file is an
observation.
On-Demand Instance An Amazon EC2 (p. 209) pricing option that charges you for compute capacity by
the hour with no long-term commitment.
optimistic locking A strategy to ensure that an item that you want to update has not been modified by
others before you perform the update. For Amazon DynamoDB (p. 208), optimistic
locking support is provided by the AWS SDKs.
organization AWS Organizations (p. 216): An entity that you create to consolidate and manage
your AWS accounts. An organization has one master account along with zero or
more member accounts.
organizational unit AWS Organizations (p. 216): A container for accounts within a root (p. 244) of
an organization. An organizational unit (OU) can contain other OUs.
Version 1.0
237
Amazon Web Services Referencia general
origin access identity Also called OAI. When using Amazon CloudFront (p. 208) to serve content with
an Amazon S3 (p. 211) bucket (p. 218) as the origin, a virtual identity that you
use to require users to access your content through CloudFront URLs instead of
Amazon S3 URLs. Usually used with CloudFront private content (p. 240).
origin server The Amazon S3 (p. 211) bucket (p. 218) or custom origin containing the
definitive original version of the content you deliver through CloudFront (p. 208).
original environment The instances in a deployment group at the start of an AWS CodeDeploy blue/
green deployment.
output location Amazon Machine Learning: An Amazon S3 location where the results of a batch
prediction are stored.
P
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
pagination The process of responding to an API request by returning a large list of records in
small separate parts. Pagination can occur in the following situations:
• The client sets the maximum number of returned records to a value below the
total number of records.
• The service has a default maximum number of returned records that is lower than
the total number of records.
When an API response is paginated, the service sends a subset of the large list of
records and a pagination token that indicates that more records are available. The
client includes this pagination token in a subsequent API request, and the service
responds with the next subset of records. This continues until the service responds
with a subset of records and no pagination token, indicating that all records have
been sent.
pagination token A marker that indicates that an API response contains a subset of a larger list of
records. The client can return this marker in a subsequent API request to retrieve
the next subset of records until the service responds with a subset of records and
no pagination token, indicating that all records have been sent.
See Also pagination.
paid AMI An Amazon Machine Image (AMI) (p. 210) that you sell to other Amazon
EC2 (p. 209) users on AWS Marketplace (p. 215).
Version 1.0
238
Amazon Web Services Referencia general
partition key A simple primary key, composed of one attribute (also known as a hash attribute).
See Also partition key, sort key.
permission A statement within a policy (p. 239) that allows or denies access to a particular
resource (p. 243). You can state any permission like this: "A has permission to do
B to C." For example, Jane (A) has permission to read messages (B) from John's
Amazon SQS (p. 211) queue (C). Whenever Jane sends a request to Amazon
SQS to use John's queue, the service checks to see if she has permission and if the
request satisfies the conditions John set forth in the permission.
persistent storage A data storage solution where the data remains intact until it is deleted. Options
within AWS (p. 211) include: Amazon S3 (p. 211), Amazon RDS (p. 210),
Amazon DynamoDB (p. 208), and other services.
physical name A unique label that AWS CloudFormation (p. 213) assigns to each
resource (p. 243) when creating a stack (p. 248). Some AWS CloudFormation
commands accept the physical name as a value with the --physical-name
parameter.
pipeline AWS CodePipeline (p. 214): A workflow construct that defines the way software
changes go through a release process.
plaintext Information that has not been encrypted (p. 226), as opposed to
ciphertext (p. 219).
policy IAM (p. 215): A document defining permissions that apply to a user, group, or
role; the permissions in turn determine what users can do in AWS. A policy typically
allow (p. 207)s access to specific actions, and can optionally grant that the
actions are allowed for specific resource (p. 243)s, like EC2 instance (p. 225)s,
Amazon S3 (p. 211) bucket (p. 218)s, and so on. Policies can also explicitly
deny (p. 224) access.
Auto Scaling (p. 213): An object that stores the information needed to launch
or terminate instances for an Auto Scaling group. Executing the policy causes
instances to be launched or terminated. You can configure an alarm (p. 207) to
invoke an Auto Scaling policy.
policy generator A tool in the IAM (p. 215) AWS Management Console (p. 215) that helps you
build a policy (p. 239) by selecting elements from lists of available options.
policy simulator A tool in the IAM (p. 215) AWS Management Console (p. 215) that helps you
test and troubleshoot policies (p. 239) so you can see their effects in real-world
scenarios.
policy validator A tool in the IAM (p. 215) AWS Management Console (p. 215) that examines
your existing IAM access control policies (p. 239) to ensure that they comply with
the IAM policy grammar.
presigned URL A web address that uses query string authentication (p. 241).
Version 1.0
239
Amazon Web Services Referencia general
Premium Support A one-on-one, fast-response support channel that AWS customers can subscribe to
for support for AWS infrastructure services.
See Also https://aws.amazon.com/premiumsupport/.
primary key One or two attributes that uniquely identify each item in a Amazon
DynamoDB (p. 208) table, so that no two items can have the same key.
See Also partition key, sort key.
principal The user (p. 252), service, or account (p. 207) that receives permissions
that are defined in a policy (p. 239). The principal is A in the statement "A has
permission to do B to C."
private content When using Amazon CloudFront (p. 208) to serve content with an Amazon
S3 (p. 211) bucket (p. 218) as the origin, a method of controlling access to
your content by requiring users to use signed URLs. Signed URLs can restrict
user access based on the current date and time and/or the IP addresses that the
requests originate from.
private IP address A private numerical address (for example, 192.0.2.44) that networked devices
use to communicate with one another using the Internet Protocol (IP). All EC2
instance (p. 225)ss are assigned two IP addresses at launch, which are directly
mapped to each other through Network Address Translation (NAT (p. 236)): a
private address (following RFC 1918) and a public address. Exception: Instances
launched in Amazon VPC (p. 211) are assigned only a private IP address.
private subnet A VPC (p. 253) subnet (p. 249) whose instances cannot be reached from the
Internet.
product code An identifier provided by AWS when you submit a product to AWS
Marketplace (p. 215).
property rule A JSON (p. 232)-compliant markup standard for declaring properties, mappings,
and output values in an AWS CloudFormation (p. 213) template.
Provisioned IOPS A storage option designed to deliver fast, predictable, and consistent I/O
performance. When you specify an IOPS rate while creating a DB instance,
Amazon RDS (p. 210) provisions that IOPS rate for the lifetime of the DB
instance.
pseudo parameter A predefined setting, such as AWS:StackName that can be used in AWS
CloudFormation (p. 213) templates without having to declare them. You can use
pseudo parameters anywhere you can use a regular parameter.
public AMI An Amazon Machine Image (AMI) (p. 210) that all AWS account (p. 207)s have
permission to launch.
public data set A large collection of public information that can be seamlessly integrated into AWS
cloud-based applications. Amazon stores public data sets at no charge to the
community and, like all AWS services, users pay only for the compute and storage
they use for their own applications. These data sets currently include data from the
Human Genome Project, the U.S. Census, Wikipedia, and other sources.
See Also https://aws.amazon.com/publicdatasets.
public IP address A pubic numerical address (for example, 192.0.2.44) that networked devices
use to communicate with one another using the Internet Protocol (IP). EC2
Version 1.0
240
Amazon Web Services Referencia general
instance (p. 225)s are assigned two IP addresses at launch, which are directly
mapped to each other through Network Address Translation (NAT (p. 236)): a
private address (following RFC 1918) and a public address. Exception: Instances
launched in Amazon VPC (p. 211) are assigned only a private IP address.
public subnet A subnet (p. 249) whose instances can be reached from the Internet.
PV virtualization Paravirtual virtualization. Allows guest VMs to run on host systems that do not have
special support extensions for full hardware and CPU virtualization. Because PV
guests run a modified operating system that does not use hardware emulation, they
cannot provide hardware-related features such as enhanced networking or GPU
support.
See Also HVM virtualization.
Q
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
quartile binning transformation Amazon Machine Learning: A process that takes two inputs, a numerical variable
and a parameter called a bin number, and outputs a categorical variable. Quartile
binning transformations discover non-linearity in a variable's distribution by enabling
the machine learning model to learn separate importance values for parts of the
numeric variable’s distribution.
Query A type of web service that generally uses only the GET or POST HTTP method and
a query string with parameters in the URL.
See Also REST.
query string authentication An AWS feature that lets you place the authentication information in the HTTP
request query string instead of in the Authorization header, which enables URL-
based access to objects in a bucket (p. 218).
queue A sequence of messages or jobs that are held in temporary storage awaiting
transmission or processing.
quota Amazon RDS (p. 210): The maximum number of DB instance (p. 223)s and
available storage you can use.
Amazon ElastiCache (p. 209): The maximum number of the following items:
• The number of cache clusters for each AWS account (p. 207)
• The number of cache nodes per cache cluster
• The total number of cache nodes per AWS account across all cache clusters
created by that AWS account
R
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
Version 1.0
241
Amazon Web Services Referencia general
range GET A request that specifies a byte range of data to get for a download. If an object is
large, you can break up a download into smaller units by sending multiple range
GET requests that each specify a different byte range to GET.
raw email A type of sendmail request with which you can specify the email headers and MIME
types.
read replica Amazon RDS (p. 210): An active copy of another DB instance. Any updates to the
data on the source DB instance are replicated to the read replica DB instance using
the built-in replication feature of MySQL 5.1.
real-time predictions Amazon Machine Learning: Synchronously generated predictions for individual data
observations.
See Also batch prediction.
receipt handle Amazon SQS (p. 211): An identifier that you get when you receive a message
from the queue. This identifier is required to delete a message from the queue or
when changing a message's visibility timeout.
receiver The entity that consists of the network systems, software, and policies that manage
email delivery for a recipient (p. 242).
recipient Amazon Simple Email Service (Amazon SES) (p. 211): The person or entity
receiving an email message. For example, a person named in the "To" field of a
message.
Redis A fast, open source, in-memory key-value data structure store. Redis comes with a
set of versatile in-memory data structures with which you can easily create a variety
of custom applications.
reference A means of inserting a property from one AWS resource (p. 243) into another.
For example, you could insert an Amazon EC2 (p. 209) security group (p. 246)
property into an Amazon RDS (p. 210) resource.
region A named set of AWS resource (p. 243)s in the same geographical area. A region
comprises at least two Availability Zone (p. 213)s.
regression model Amazon Machine Learning: Preformatted instructions for common data
transformations that fine-tune machine learning model performance.
regression model A type of machine learning model that predicts a numeric value, such as the exact
purchase price of a house.
regularization A machine learning (ML) parameter that you can tune to obtain higher-quality
ML models. Regularization helps prevent ML models from memorizing training
data examples instead of learning how to generalize the patterns it sees (called
overfitting). When training data is overfitted, the ML model performs well on the
training data but does not perform well on the evaluation data or on new data.
replacement environment The instances in a deployment group after the AWS CodeDeploy blue/green
deployment.
reply path The email address to which an email reply is sent. This is different from the return
path (p. 244).
Version 1.0
242
Amazon Web Services Referencia general
reputation 1. An Amazon SES (p. 211) metric, based on factors that might include
bounce (p. 218)s, complaint (p. 220)s, and other metrics, regarding whether or
not a customer is sending high-quality email.
requester The person (or application) that sends a request to AWS to perform a specific
action. When AWS receives a request, it first evaluates the requester's permissions
to determine whether the requester is allowed to perform the request action (if
applicable, for the requested resource (p. 243)).
Requester Pays An Amazon S3 (p. 211) feature that allows a bucket owner (p. 218) to specify
that anyone who requests access to objects in a particular bucket (p. 218) must
pay the data transfer and request costs.
reservation A collection of EC2 instance (p. 225)s started as part of the same launch request.
Not to be confused with a Reserved Instance (p. 243).
Reserved Instance A pricing option for EC2 instance (p. 225)s that discounts the on-
demand (p. 237) usage charge for instances that meet the specified parameters.
Customers pay for the entire term of the instance, regardless of how they use it.
Reserved Instance An online exchange that matches sellers who have reserved capacity that they no
Marketplace longer need with buyers who are looking to purchase additional capacity. Reserved
Instance (p. 243)s that you purchase from third-party sellers have less than a full
standard term remaining and can be sold at different upfront prices. The usage or
reoccurring fees remain the same as the fees set when the Reserved Instances
were originally purchased. Full standard terms for Reserved Instances available
from AWS run for one year or three years.
resource An entity that users can work with in AWS, such as an EC2 instance (p. 225), an
Amazon DynamoDB (p. 208) table, an Amazon S3 (p. 211) bucket (p. 218), an
IAM (p. 215) user, an AWS OpsWorks (p. 215) stack (p. 248), and so on.
resource property A value required when including an AWS resource (p. 243) in an AWS
CloudFormation (p. 213) stack (p. 248). Each resource may have one or more
properties associated with it. For example, an AWS::EC2::Instance resource may
have a UserData property. In an AWS CloudFormation template, resources must
declare a properties section, even if the resource has no properties.
resource record Also called resource record set. The fundamental information elements in the
Domain Name System (DNS).
See Also Domain Name System in Wikipedia.
RESTful web service Also known as RESTful API. A web service that follows REST (p. 243)
architectural constraints. The API operations must use HTTP methods explicitly;
expose hierarchical URIs; and transfer either XML, JSON (p. 232), or both.
Version 1.0
243
Amazon Web Services Referencia general
return enabled Amazon CloudSearch (p. 208): An index field option that enables the field's
values to be returned in the search results.
return path The email address to which bounced email is returned. The return path is specified
in the header of the original email. This is different from the reply path (p. 242).
revision AWS CodePipeline (p. 214): A change made to a source that is configured in a
source action, such as a pushed commit to a GitHub (p. 229) repository or an
update to a file in a versioned Amazon S3 (p. 211) bucket (p. 218).
role A tool for giving temporary access to AWS resource (p. 243)s in your AWS
account (p. 207).
rollback A return to a previous state that follows the failure to create an object, such as AWS
CloudFormation (p. 213) stack (p. 248). All resource (p. 243)s associated
with the failure are deleted during the rollback. For AWS CloudFormation, you can
override this behavior using the --disable-rollback option on the command line.
root AWS Organizations (p. 216): A parent container for the accounts in your
organization. If you apply a service control policy (p. 246) to the root, it applies to
every organizational unit (p. 237) and account in the organization.
root credentials Authentication information associated with the AWS account (p. 207) owner.
root device volume A volume (p. 253) that contains the image used to boot the instance (p. 231).
If you launched the instance from an AMI (p. 210) backed by instance
store (p. 231), this is an instance store volume (p. 253) created from a template
stored in Amazon S3 (p. 211). If you launched the instance from an AMI backed
by Amazon EBS (p. 208), this is an Amazon EBS volume created from an
Amazon EBS snapshot.
route table A set of routing rules that controls the traffic leaving any subnet (p. 249) that is
associated with the route table. You can associate multiple subnets with a single
route table, but a subnet can be associated with only one route table at a time.
row identifier row ID.Amazon Machine Learning: An attribute in the input data that you can
include in the evaluation or prediction output to make it easier to associate a
prediction with an observation.
rule AWS WAF (p. 217): A set of conditions that AWS WAF searches for in web
requests to AWS resource (p. 243)s such as Amazon CloudFront (p. 208)
distributions. You add rules to a web ACL (p. 254), and then specify whether you
want to allow or block web requests based on each rule.
S
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
sampling period A defined duration of time, such as one minute, over which Amazon
CloudWatch (p. 208) computes a statistic (p. 248).
sandbox A testing location where you can test the functionality of your application without
affecting production, incurring charges, or purchasing products.
Version 1.0
244
Amazon Web Services Referencia general
Amazon SES (p. 211): An environment that is designed for developers to test
and evaluate the service. In the sandbox, you have full access to the Amazon SES
API, but you can only send messages to verified email addresses and the mailbox
simulator. To get out of the sandbox, you need to apply for production access.
Accounts in the sandbox also have lower sending limits (p. 246) than production
accounts.
scale in To remove EC2 instances from an Auto Scaling group (p. 213).
scale out To add EC2 instances to an Auto Scaling group (p. 213).
scaling policy A description of how Auto Scaling should automatically scale an Auto Scaling
group (p. 213) in response to changing demand.
See Also scale in, scale out.
scaling activity A process that changes the size, configuration, or makeup of an Auto Scaling
group (p. 213) by launching or terminating instances.
scheduler The method used for placing task (p. 251)s on container instance (p. 221)s.
schema Amazon Machine Learning: The information needed to interpret the input data for a
machine learning model, including attribute names and their assigned data types,
and the names of special attributes.
score cut-off value Amazon Machine Learning: A binary classification models output a score that
ranges from 0 to 1. To decide whether an observation should be classified as 1 or 0,
you pick a classification threshold, or cut-off, and Amazon ML compares the score
against it. Observations with scores higher than the cut-off are predicted as target
equals 1, and scores lower than the cut-off are predicted as target equals 0.
search API Amazon CloudSearch (p. 208): The API that you use to submit search requests to
a search domain (p. 245).
search domain Amazon CloudSearch (p. 208): Encapsulates your searchable data and the
search instances that handle your search requests. You typically set up a separate
Amazon CloudSearch domain for each different collection of data that you want to
search.
search domain configuration Amazon CloudSearch (p. 208): An domain's indexing options, analysis
scheme (p. 212)s, expression (p. 227)s, suggester (p. 250)s, access policies,
and scaling and availability options.
search enabled Amazon CloudSearch (p. 208): An index field option that enables the field data to
be searched.
search endpoint Amazon CloudSearch (p. 208): The URL that you connect to when sending
search requests to a search domain. Each Amazon CloudSearch domain has a
unique search endpoint that remains the same for the life of the domain.
search index Amazon CloudSearch (p. 208): A representation of your searchable data that
facilitates fast and accurate data retrieval.
search instance Amazon CloudSearch (p. 208): A compute resource (p. 243) that indexes your
data and processes search requests. An Amazon CloudSearch domain has one
or more search instances, each with a finite amount of RAM and CPU resources.
As your data volume grows, more search instances or larger search instances are
deployed to contain your indexed data. When necessary, your index is automatically
Version 1.0
245
Amazon Web Services Referencia general
search request Amazon CloudSearch (p. 208): A request that is sent to an Amazon CloudSearch
domain's search endpoint to retrieve documents from the index that match
particular search criteria.
search result Amazon CloudSearch (p. 208): A document that matches a search request. Also
referred to as a search hit.
secret access key A key that is used in conjunction with the access key ID (p. 206) to
cryptographically sign programmatic AWS requests. Signing a request identifies
the sender and prevents the request from being altered. You can generate secret
access keys for your AWS account (p. 207), individual IAM user (p. 252)s, and
temporary sessions.
security group A named set of allowed inbound network connections for an instance. (Security
groups in Amazon VPC (p. 211) also include support for outbound connections.)
Each security group consists of a list of protocols, ports, and IP address ranges. A
security group can apply to multiple instances, and multiple groups can regulate a
single instance.
sending limits The sending quota (p. 246) and maximum send rate (p. 235) that are associated
with every Amazon SES (p. 211) account.
sending quota The maximum number of email messages that you can send using Amazon
SES (p. 211) in a 24-hour period.
server-side encryption (SSE) The encrypting (p. 226) of data at the server level. Amazon S3 (p. 211) supports
three modes of server-side encryption: SSE-S3, in which Amazon S3 manages the
keys; SSE-C, in which the customer manages the keys; and SSE-KMS, in which
AWS Key Management Service (AWS KMS) (p. 215) manages keys.
service control policy AWS Organizations (p. 216): A policy-based control that specifies the services
and actions that users and roles can use in the accounts that the service control
policy (SCP) affects.
service health dashboard A web page showing up-to-the-minute information about AWS service availability.
The dashboard is located at http://status.aws.amazon.com/.
service role An IAM (p. 215) role (p. 244) that grants permissions to an AWS service so it
can access AWS resource (p. 243)s. The policies that you attach to the service
role determine which AWS resources the service can access and what it can do
with those resources.
session The period during which the temporary security credentials provided by AWS
Security Token Service (AWS STS) (p. 216) allow access to your AWS account.
Version 1.0
246
Amazon Web Services Referencia general
SHA Secure Hash Algorithm. SHA1 is an earlier version of the algorithm, which AWS has
deprecated in favor of SHA256.
shard Amazon Elasticsearch Service (Amazon ES) (p. 209): A partition of data in an
index. You can split an index into multiple shards, which can include primary shards
(original shards) and replica shards (copies of the primary shards). Replica shards
provide failover, which means that a replica shard is promoted to a primary shard if
a cluster node that contains a primary shard fails. Replica shards also can handle
requests.
shared AMI An Amazon Machine Image (AMI) (p. 210) that a developer builds and makes
available for others to use.
shutdown action Amazon EMR (p. 209): A predefined bootstrap action that launches a script that
executes a series of commands in parallel before terminating the job flow.
signature Refers to a digital signature, which is a mathematical way to confirm the authenticity
of a digital message. AWS uses signatures to authenticate the requests you send to
our web services. For more information, to https://aws.amazon.com/security.
SIGNATURE file AWS Import/Export (p. 215): A file you copy to the root directory of your storage
device. The file contains a job ID, manifest file, and a signature.
Signature Version 4 Protocol for authenticating inbound API requests to AWS services in all AWS
regions.
Simple Storage Service See Amazon Simple Storage Service (Amazon S3).
Single-AZ DB instance A standard (non-Multi-AZ) DB instance (p. 223) that is deployed in one Availability
Zone (p. 213), without a standby replica in another Availability Zone.
See Also Multi-AZ deployment.
sloppy phrase search A search for a phrase that specifies how close the terms must be to one another to
be considered a match.
SMTP Simple Mail Transfer Protocol. The standard that is used to exchange email
messages between Internet hosts for the purpose of routing and delivery.
snapshot Amazon Elastic Block Store (Amazon EBS) (p. 208): A backup of your
volume (p. 253)s that is stored in Amazon S3 (p. 211). You can use these
snapshots as the starting point for new Amazon EBS volumes or to protect your
data for long-term durability.
See Also DB snapshot.
Snowball An AWS Import/Export (p. 215) feature that uses Amazon-owned Snowball
appliances for transferring your data.
See Also https://aws.amazon.com/importexport.
SOAP Simple Object Access Protocol. An XML-based protocol that lets you exchange
information over a particular protocol (HTTP or SMTP, for example) between
applications.
See Also REST, WSDL.
soft bounce A temporary email delivery failure such as one resulting from a full mailbox.
Version 1.0
247
Amazon Web Services Referencia general
sort enabled Amazon CloudSearch (p. 208): An index field option that enables a field to be
used to sort the search results.
sort key An attribute used to sort the order of partition keys in a composite primary key (also
known as a range attribute).
See Also partition key, primary key.
source/destination checking A security measure to verify that an EC2 instance (p. 225) is the origin of all traffic
that it sends and the ultimate destination of all traffic that it receives; that is, that the
instance is not relaying traffic. Source/destination checking is enabled by default.
For instances that function as gateways, such as VPC (p. 253) NAT (p. 236)
instances, source/destination checking must be disabled.
spamtrap An email address that is set up by an anti-spam (p. 248) entity, not for
correspondence, but to monitor unsolicited email. This is also called a honeypot.
Spot Instance A type of EC2 instance (p. 225) that you can bid on to take advantage of unused
Amazon EC2 (p. 209) capacity.
Spot price The price for a Spot Instance (p. 248) at any given time. If your maximum price
exceeds the current price and your restrictions are met, Amazon EC2 (p. 209)
launches instances on your behalf.
SQL injection match condition AWS WAF (p. 217): An attribute that specifies the part of web requests, such
as a header or a query string, that AWS WAF inspects for malicious SQL code.
Based on the specified conditions, you can configure AWS WAF to allow or block
web requests to AWS resource (p. 243)s such as Amazon CloudFront (p. 208)
distributions.
stack AWS CloudFormation (p. 213): A collection of AWS resource (p. 243)s that you
create and delete as a single unit.
AWS OpsWorks (p. 215): A set of instances that you manage collectively, typically
because they have a common purpose such as serving PHP applications. A stack
serves as a container and handles tasks that apply to the group of instances as a
whole, such as managing applications and cookbooks.
station AWS CodePipeline (p. 214): A portion of a pipeline workflow where one or more
actions are performed.
station A place at an AWS facility where your AWS Import/Export data is transferred on to,
or off of, your storage device.
statistic One of five functions of the values submitted for a given sampling period (p. 244).
These functions are Maximum, Minimum, Sum, Average, and SampleCount.
Version 1.0
248
Amazon Web Services Referencia general
stemming The process of mapping related words to a common stem. This enables matching
on variants of a word. For example, a search for "horse" could return matches for
horses, horseback, and horsing, as well as horse. Amazon CloudSearch (p. 208)
supports both dictionary based and algorithmic stemming.
step Amazon EMR (p. 209): A single function applied to the data in a job
flow (p. 232). The sum of all steps comprises a job flow.
step type Amazon EMR (p. 209): The type of work done in a step. There are a limited
number of step types, such as moving data from Amazon S3 (p. 211) to Amazon
EC2 (p. 209) or from Amazon EC2 to Amazon S3.
sticky session A feature of the Elastic Load Balancing (p. 225) load balancer that binds a user's
session to a specific application instance so that all requests coming from the user
during the session are sent to the same application instance. By contrast, a load
balancer defaults to route each request independently to the application instance
with the smallest load.
stopping The process of filtering stop words from an index or search request.
stopword A word that is not indexed and is automatically filtered out of search requests
because it is either insignificant or so common that including it would result in too
many matches to be useful. Stop words are language-specific.
streaming Amazon EMR (Amazon EMR) (p. 209): A utility that comes with Hadoop (p. 229)
that enables you to develop MapReduce executables in languages other than Java.
Amazon CloudFront (p. 208): The ability to use a media file in real time—as it is
transmitted in a steady stream from a server.
streaming distribution A special kind of distribution (p. 224) that serves streamed media files using a
Real Time Messaging Protocol (RTMP) connection.
string-to-sign Before you calculate an HMAC (p. 229) signature, you first assemble the required
components in a canonical order. The preencrypted string is the string-to-sign.
string match condition AWS WAF (p. 217): An attribute that specifies the strings that AWS WAF
searches for in a web request, such as a value in a header or a query string.
Based on the specified strings, you can configure AWS WAF to allow or block web
requests to AWS resource (p. 243)s such as CloudFront (p. 208) distributions.
strongly consistent read A read process that returns a response with the most up-to-date data, reflecting
the updates from all prior write operations that were successful—regardless of the
region.
See Also data consistency, eventual consistency, eventually consistent read.
structured query Search criteria specified using the Amazon CloudSearch (p. 208) structured
query language. You use the structured query language to construct compound
queries that use advanced search options and combine multiple search criteria
using Boolean operators.
subnet A segment of the IP address range of a VPC (p. 253) that EC2
instance (p. 225)s can be attached to. You can create subnets to group instances
according to security and operational needs.
Subscription button An HTML-coded button that enables an easy way to charge customers a recurring
fee.
Version 1.0
249
Amazon Web Services Referencia general
suggester Amazon CloudSearch (p. 208): Specifies an index field you want to use to get
autocomplete suggestions and options that can enable fuzzy matches and control
how suggestions are sorted.
suggestions Documents that contain a match for the partial search string in the field designated
by the suggester (p. 250). Amazon CloudSearch (p. 208) suggestions include
the document IDs and field values for each matching document. To be a match, the
string must match the contents of the field starting from the beginning of the field.
supported AMI An Amazon Machine Image (AMI) (p. 210) similar to a paid AMI (p. 238), except
that the owner charges for additional software or a service that customers use with
their own AMIs.
symmetric encryption Encryption (p. 226) that uses a private key only.
See Also asymmetric encryption.
synchronous bounce A type of bounce (p. 218) that occurs while the email servers of the
sender (p. 246) and receiver (p. 242) are actively communicating.
synonym A word that is the same or nearly the same as an indexed word and that should
produce the same results when specified in a search request. For example, a
search for "Rocky Four" or "Rocky 4" should return the fourth Rocky movie. This
can be done by designating that four and 4 are synonyms for IV. Synonyms are
language-specific.
T
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
table A collection of data. Similar to other database systems, DynamoDB stores data in
tables.
tag Metadata that you can define and assign to AWS resource (p. 243)s, such as an
EC2 instance (p. 225). Not all AWS resources can be tagged.
tagging Tagging resources: Applying a tag (p. 250) to an AWS resource (p. 243).
Amazon SES (p. 211): Also called labeling. A way to format return path (p. 244)
email addresses so that you can specify a different return path for each
recipient of a message. Tagging enables you to support VERP (p. 253). For
example, if Andrew manages a mailing list, he can use the return paths andrew
+recipient1@example.net and andrew+recipient2@example.net so that he can
determine which email bounced.
target attribute Amazon Machine Learning (Amazon ML ): The attribute in the input data that
contains the “correct” answers. Amazon ML uses the target attribute to learn how
to make predictions on new data. For example, if you were building a model for
predicting the sale price of a house, the target attribute would be “target sale price
in USD.”
target revision AWS CodeDeploy (p. 214): The most recent version of the application revision
that has been uploaded to the repository and will be deployed to the instances in
a deployment group. In other words, the application revision currently targeted for
deployment. This is also the revision that will be pulled for automatic deployments.
Version 1.0
250
Amazon Web Services Referencia general
task definition The blueprint for your task. Specifies the name of the task (p. 251), revisions,
container definition (p. 221)s, and volume (p. 253) information.
task node An EC2 instance (p. 225) that runs Hadoop (p. 229) map and reduce tasks,
but does not store data. Task nodes are managed by the master node (p. 234),
which assigns Hadoop tasks to nodes and monitors their status. While a job flow is
running you can increase and decrease the number of task nodes. Because they
don't store data and can be added and removed from a job flow, you can use task
nodes to manage the EC2 instance capacity your job flow uses, increasing capacity
to handle peak loads and decreasing it later.
template format version The version of an AWS CloudFormation (p. 213) template design that determines
the available features. If you omit the AWSTemplateFormatVersion section from your
template, AWS CloudFormation assumes the most recent format version.
template validation The process of confirming the use of JSON (p. 232) code in an AWS
CloudFormation (p. 213) template. You can validate any AWS CloudFormation
template using the cfn-validate-template command.
temporary security credentials Authentication information that is provided by AWS STS (p. 216) when you
call an STS API action. Includes an access key ID (p. 206), a secret access
key (p. 246), a session (p. 246) token, and an expiration time.
throttling The automatic restricting or slowing down of a process based on one or more limits.
Examples: Amazon Kinesis Streams (p. 210) throttles operations if an application
(or group of applications operating on the same stream) attempts to get data
from a shard at a rate faster than the shard limit. Amazon API Gateway (p. 207)
uses throttling to limit the steady-state request rates for a single account. Amazon
SES (p. 211) uses throttling to reject attempts to send email that exceeds the
sending limits (p. 246).
time series data Data provided as part of a metric. The time value is assumed to be when the value
occurred. A metric is the fundamental concept for Amazon CloudWatch (p. 208)
and represents a time-ordered set of data points. You publish metric data points into
CloudWatch and later retrieve statistics about those data points as a time-series
ordered data set.
tokenization The process of splitting a stream of text into separate tokens on detectable
boundaries such as whitespace and hyphens.
training datasource A datasource that contains the data that Amazon Machine Learning uses to train
the machine learning model to make predictions.
Version 1.0
251
Amazon Web Services Referencia general
transition AWS CodePipeline (p. 214): The act of a revision in a pipeline continuing from
one stage to the next in a workflow.
Transport Layer Security A cryptographic protocol that provides security for communication over the Internet.
Its predecessor is Secure Sockets Layer (SSL).
trust policy An IAM (p. 215) policy (p. 239) that is an inherent part of an IAM role (p. 244).
The trust policy specifies which principal (p. 240)s are allowed to use the role.
trusted signers AWS account (p. 207)s that the CloudFront (p. 208) distribution owner has given
permission to create signed URLs for a distribution's content.
tuning Selecting the number and type of AMIs (p. 210) to run a Hadoop (p. 229) job
flow most efficiently.
tunnel A route for transmission of private network traffic that uses the Internet to connect
nodes in the private network. The tunnel uses encryption and secure protocols such
as PPTP to prevent the traffic from being intercepted as it passes through public
routing nodes.
U
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
unbounded The number of potential occurrences is not limited by a set number. This
value is often used when defining a data type that is a list (for example,
maxOccurs="unbounded"), in WSDL (p. 254).
unit Standard measurement for the values submitted to Amazon CloudWatch (p. 208)
as metric data. Units include seconds, percent, bytes, bits, count, bytes/second,
bits/second, count/second, and none.
unlink from VPC The process of unlinking (or detaching) an EC2-Classic instance (p. 231) from a
ClassicLink-enabled VPC (p. 253).
See Also ClassicLink, link to VPC.
usage report An AWS record that details your usage of a particular AWS service. You can
generate and download usage reports from https://aws.amazon.com/usage-reports/.
user A person or application under an account (p. 207) that needs to make API calls
to AWS products. Each user has a unique name within the AWS account, and a set
of security credentials not shared with other users. These credentials are separate
from the AWS account's security credentials. Each user is associated with one and
only one AWS account.
V
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
Version 1.0
252
Amazon Web Services Referencia general
value Instances of attributes (p. 213) for an item, such as cells in a spreadsheet. An
attribute might have multiple values.
Tagging resources: A specific tag (p. 250) label that acts as a descriptor within a
tag category (key). For example, you might have EC2 instance (p. 225) with the
tag key of Owner and the tag value of Jan. You can tag an AWS resource (p. 243)
with up to 10 key–value pairs. Not all AWS resources can be tagged.
verification The process of confirming that you own an email address or a domain so that you
can send email from or to it.
VERP Variable Envelope Return Path. A way in which email sending applications can
match bounce (p. 218)d email with the undeliverable address that caused
the bounce by using a different return path (p. 244) for each recipient. VERP
is typically used for mailing lists. With VERP, the recipient's email address is
embedded in the address of the return path, which is where bounced email is
returned. This makes it possible to automate the processing of bounced email
without having to open the bounce messages, which may vary in content.
versioning Every object in Amazon S3 (p. 211) has a key and a version ID. Objects with the
same key, but different version IDs can be stored in the same bucket (p. 218).
Versioning is enabled at the bucket layer using PUT Bucket versioning.
virtualization Allows multiple guest virtual machines (VM) to run on a host operating system.
Guest VMs can run on one or more levels above the host hardware, depending on
the type of virtualization.
See Also PV virtualization, HVM virtualization.
virtual private gateway (VGW) The Amazon side of a VPN connection (p. 254) that maintains
connectivity. The internal interfaces of the virtual private gateway connect to your
VPC (p. 253) via the VPN attachment and the external interfaces connect to the
VPN connection, which leads to the customer gateway (p. 222).
visibility timeout The period of time that a message is invisible to the rest of your application after
an application component gets it from the queue. During the visibility timeout, the
component that received the message usually processes it, and then deletes it from
the queue. This prevents multiple components from processing the same message.
volume A fixed amount of storage on an instance (p. 231). You can share volume
data between container (p. 221)s and persist the data on the container
instance (p. 221) when the containers are no longer running.
VPC Virtual private cloud. An elastic network populated by infrastructure, platform, and
application services that share common security and interconnection.
VPC endpoint A feature that enables you to create a private connection between your
VPC (p. 253) and an another AWS service without requiring access over the
Internet, through a NAT (p. 236) instance, a VPN connection (p. 254), or AWS
Direct Connect (p. 214).
Version 1.0
253
Amazon Web Services Referencia general
VPN connection Amazon Web Services (AWS) (p. 211): The IPsec connection between a
VPC (p. 253) and some other network, such as a corporate data center, home
network, or co-location facility.
W
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
web access control list AWS WAF (p. 217): A set of rules that defines the conditions that AWS WAF
searches for in web requests to AWS resource (p. 243)s such as Amazon
CloudFront (p. 208) distributions. A web access control list (web ACL) specifies
whether to allow, block, or count the requests.
WSDL Web Services Description Language. A language used to describe the actions that
a web service can perform, along with the syntax of action requests and responses.
See Also REST, SOAP.
X, Y, Z
X.509 certificate An digital document that uses the X.509 public key infrastructure (PKI) standard to
verify that a public key belongs to the entity described in the certificate (p. 219).
zone awareness Amazon Elasticsearch Service (Amazon ES) (p. 209): A configuration that
distributes nodes in a cluster across two Availability Zone (p. 213)s in the same
region. Zone awareness helps to prevent data loss and minimizes downtime in the
event of node and data center failure. If you enable zone awareness, you must have
an even number of data instances in the instance count, and you also must use
the Amazon Elasticsearch Service Configuration API to replicate your data for your
Elasticsearch cluster.
Version 1.0
254