Amazon Web Services

Amazon Web Services
Referencia general
Version 1.0
Amazon Web Services Referencia general
Amazon Web Services: Referencia general

Copyright © 2017 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner
that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not
owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by
Amazon.
Table of Contents
Referencia general de AWS ................................................................................................................. 1
Regiones y puntos de conexión de AWS ............................................................................................... 2
Amazon API Gateway ................................................................................................................. 4
Application Auto Scaling .............................................................................................................. 5
Amazon AppStream .................................................................................................................... 6
Amazon AppStream 2.0 ............................................................................................................... 6
Athena ...................................................................................................................................... 7
Auto Scaling .............................................................................................................................. 7
AWS Batch ................................................................................................................................ 8
AWS Certificate Manager ............................................................................................................. 8
Amazon Cloud Directory .............................................................................................................. 9
AWS CloudFormation ................................................................................................................ 10
Amazon CloudFront .................................................................................................................. 11
AWS CloudHSM ....................................................................................................................... 11
Amazon CloudSearch ................................................................................................................ 12
AWS CloudTrail ........................................................................................................................ 12
Amazon CloudWatch ................................................................................................................. 13
Amazon CloudWatch Events ...................................................................................................... 14
Amazon CloudWatch Logs ......................................................................................................... 15
AWS CodeBuild ........................................................................................................................ 16
AWS CodeCommit .................................................................................................................... 16
AWS CodeDeploy ..................................................................................................................... 17
AWS CodePipeline .................................................................................................................... 18
Amazon Cognito Identity ............................................................................................................ 18
Amazon Cognito Your User Pools ....................................................................................... 18
Amazon Cognito Federated Identities ................................................................................... 19
Amazon Cognito Sync ............................................................................................................... 20
AWS Config ............................................................................................................................. 20
Reglas de AWS Config ...................................................................................................... 21
AWS Data Pipeline ................................................................................................................... 22
AWS Database Migration Service ................................................................................................ 22
AWS Device Farm .................................................................................................................... 23
Amazon DevPay ....................................................................................................................... 23
AWS Direct Connect ................................................................................................................. 24
AWS Directory Service .............................................................................................................. 25
Amazon DynamoDB .................................................................................................................. 25
Amazon DynamoDB Streams ..................................................................................................... 26
Amazon EC2 Container Registry ................................................................................................. 27
Amazon EC2 Container Service .................................................................................................. 28
Amazon EC2 Systems Manager .................................................................................................. 29
AWS Elastic Beanstalk .............................................................................................................. 30
AWS Elastic Beanstalk Health Service ......................................................................................... 31
Amazon Elastic Compute Cloud (Amazon EC2) ............................................................................. 31
Amazon Elastic File System ....................................................................................................... 33
Elastic Load Balancing .............................................................................................................. 33
Amazon Elastic Transcoder ........................................................................................................ 34
Amazon ElastiCache ................................................................................................................. 35
Amazon Elasticsearch Service .................................................................................................... 36
Amazon EMR ........................................................................................................................... 36
Amazon GameLift ..................................................................................................................... 38
Amazon Glacier ........................................................................................................................ 38
AWS Health ............................................................................................................................. 39
AWS Identity and Access Management (IAM) ............................................................................... 39
AWS Import/Export .................................................................................................................... 39
Version 1.0
iii
AWS Import/Export Disk .................................................................................................... 39

Amazon Inspector ..................................................................................................................... 40
AWS IoT ................................................................................................................................. 40
AWS Key Management Service .................................................................................................. 42
Amazon Kinesis Analytics .......................................................................................................... 43
Amazon Kinesis Firehose ........................................................................................................... 43
Amazon Kinesis Streams ........................................................................................................... 43
AWS Lambda ........................................................................................................................... 44
Amazon Lex ............................................................................................................................. 45
Amazon Lightsail ...................................................................................................................... 45
Amazon Machine Learning ......................................................................................................... 45
Amazon Mechanical Turk ........................................................................................................... 45
Amazon Mobile Analytics ........................................................................................................... 46
AWS OpsWorks ........................................................................................................................ 46
AWS OpsWorks for Chef Automate ..................................................................................... 46
AWS OpsWorks Stacks ..................................................................................................... 46
AWS Organizations ................................................................................................................... 48
Amazon Pinpoint ....................................................................................................................... 48
Amazon Polly ........................................................................................................................... 48
Amazon Redshift ...................................................................................................................... 48
Amazon Rekognition ................................................................................................................. 49
Amazon Relational Database Service (Amazon RDS) ..................................................................... 50
Amazon Route 53 ..................................................................................................................... 51
AWS Security Token Service (AWS STS) ..................................................................................... 51
AWS Service Catalog ................................................................................................................ 52
AWS Shield Advanced ............................................................................................................... 53
Amazon Simple Email Service (Amazon SES) ............................................................................... 53
Amazon Simple Notification Service (Amazon SNS) ....................................................................... 54
Amazon Simple Queue Service (Amazon SQS) ............................................................................. 55
Puntos de conexión heredados de Amazon SQS ................................................................... 56
Amazon Simple Storage Service (Amazon S3) .............................................................................. 56
Puntos de conexión de sitios web de Amazon Simple Storage Service ...................................... 59
Amazon Simple Workflow Service (Amazon SWF) ......................................................................... 60
Amazon SimpleDB .................................................................................................................... 61
AWS Snowball ......................................................................................................................... 62
AWS Step Functions ................................................................................................................. 63
AWS Storage Gateway .............................................................................................................. 64
AWS Support ........................................................................................................................... 64
Amazon VPC ........................................................................................................................... 65
AWS WAF ............................................................................................................................... 66
Amazon WorkDocs .................................................................................................................... 66
Amazon WorkMail ..................................................................................................................... 66
Amazon WorkSpaces ................................................................................................................ 67
AWS X-Ray ............................................................................................................................. 68
Credenciales de seguridad de AWS .................................................................................................... 69
Credenciales de cuenta raíz y credenciales de usuario de IAM ........................................................ 69
Tareas de AWS que requieren un usuario raíz de la cuenta .................................................... 70
Descripción y obtención de las credenciales de seguridad ............................................................... 71
Correo electrónico y contraseña (usuario raíz de la cuenta) ..................................................... 71
Nombre de usuario y contraseña de IAM .............................................................................. 72
Multi-Factor Authentication (MFA) ........................................................................................ 72
Claves de acceso (ID de clave de acceso y clave de acceso secreta) ....................................... 72
Pares de claves ................................................................................................................ 73
Identificadores de cuenta de AWS ............................................................................................... 73
Cómo encontrar los identificadores de su cuenta ................................................................... 74
Prácticas recomendadas para administrar las claves de acceso de AWS ........................................... 74
Eliminación (o abstención de generación) de una clave de acceso de cuenta raíz ........................ 75
Version 1.0
iv
Utilice credenciales de seguridad temporales (roles de IAM) e lugar de claves de acceso a largo
plazo ............................................................................................................................... 75
Administración correcta de las claves de acceso de los usuarios de IAM ................................... 76
Más recursos ................................................................................................................... 77
Administración de claves de acceso para su cuenta de AWS ........................................................... 77
Creación, deshabilitación y eliminación de claves de acceso para su cuenta de AWS ................... 78
Directivas de auditoría de seguridad de AWS ............................................................................... 78
¿Cuándo se debe llevar a cabo una auditoría de seguridad? ................................................... 79
Directrices generales de auditoría ....................................................................................... 79
Revisión de las credenciales de su cuenta de AWS ............................................................... 80
Revisión de los usuarios de IAM ......................................................................................... 80
Revisión de los grupos de IAM ........................................................................................... 80
Revisión de los roles de IAM .............................................................................................. 80
Revisión de los proveedores de IAM para SAML y OpenID Connect (OIDC) ............................... 81
Revisión de las aplicaciones móviles ................................................................................... 81
Revisión de la configuración de seguridad de Amazon EC2 ..................................................... 81
Revisión de las políticas de AWS en otros servicios ............................................................... 82
Monitorización de la actividad de su cuenta de AWS .............................................................. 82
Sugerencias para revisar las políticas de IAM ....................................................................... 82
Más información ............................................................................................................... 83
Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS ................................ 84
Formato de ARN ...................................................................................................................... 84
Ejemplos de ARN ..................................................................................................................... 85
Amazon API Gateway ....................................................................................................... 86
AWS Artifact .................................................................................................................... 87
Auto Scaling ..................................................................................................................... 87
AWS Certificate Manager ................................................................................................... 87
AWS CloudFormation ........................................................................................................ 87
Amazon CloudSearch ........................................................................................................ 88
AWS CloudTrail ................................................................................................................ 88
Amazon CloudWatch Events .............................................................................................. 88
Amazon CloudWatch Logs ................................................................................................. 88
AWS CodeBuild ................................................................................................................ 89
AWS CodeCommit ............................................................................................................ 89
AWS CodeDeploy ............................................................................................................. 89
Amazon Cognito Your User Pools ....................................................................................... 89
Amazon Cognito Federated Identities ................................................................................... 90
Amazon Cognito Sync ....................................................................................................... 90
AWS Config ..................................................................................................................... 90
AWS CodePipeline ............................................................................................................ 90
AWS Direct Connect ......................................................................................................... 90
Amazon DynamoDB .......................................................................................................... 91
Amazon EC2 Container Registry (Amazon ECR) ................................................................... 91
Amazon EC2 Container Service (Amazon ECS) .................................................................... 91
Amazon Elastic Compute Cloud (Amazon EC2) ..................................................................... 91
AWS Elastic Beanstalk ...................................................................................................... 92
Amazon Elastic File System ............................................................................................... 92
Elastic Load Balancing (Balanceador de carga de aplicaciones) ............................................... 93
Elastic Load Balancing (Classic Load Balancer) ..................................................................... 93
Amazon Elastic Transcoder ................................................................................................ 93
Amazon ElastiCache ......................................................................................................... 93
Amazon Elasticsearch Service ............................................................................................ 94
Amazon Glacier ................................................................................................................ 94
AWS Health/Personal Health Dashboard .............................................................................. 94
AWS Identity and Access Management (IAM) ....................................................................... 94
AWS IoT ......................................................................................................................... 95
AWS Key Management Service (AWS KMS) ......................................................................... 95
Version 1.0
v
Amazon Kinesis Firehose (Firehose) .................................................................................... 95

Amazon Kinesis Streams (Streams) ..................................................................................... 96
AWS Lambda (Lambda) ..................................................................................................... 96
Amazon Machine Learning (Amazon ML) ............................................................................. 96
AWS Organizations ........................................................................................................... 96
AWS Mobile Hub .............................................................................................................. 97
Amazon Polly ................................................................................................................... 97
Amazon Redshift .............................................................................................................. 97
Amazon Relational Database Service (Amazon RDS) ............................................................. 98
Amazon Route 53 ............................................................................................................. 98
Amazon EC2 Systems Manager (SSM) ................................................................................ 98
Amazon Simple Notification Service (Amazon SNS) ............................................................... 99
Amazon Simple Queue Service (Amazon SQS) ..................................................................... 99
Amazon Simple Storage Service (Amazon S3) ...................................................................... 99
Amazon Simple Workflow Service (Amazon SWF) ................................................................ 100
AWS Step Functions ....................................................................................................... 100
AWS Storage Gateway .................................................................................................... 100
AWS Trusted Advisor ...................................................................................................... 101
AWS WAF ..................................................................................................................... 101
Rutas de los ARN ................................................................................................................... 101
Espacios de nombres de servicios de AWS ................................................................................ 102
Firma de solicitudes de la API de AWS .............................................................................................. 106
¿Cuándo es preciso firmar las solicitudes? ................................................................................. 106
¿Por qué se firman las solicitudes? ........................................................................................... 106
Firma de solicitudes ................................................................................................................ 107
versiones de firmas ................................................................................................................. 107
Proceso de firma Signature Version 4 ........................................................................................ 108
Cambios de Signature Version 4 ....................................................................................... 108
Firma de solicitudes de AWS ............................................................................................ 109
Control de fechas ............................................................................................................ 122
Ejemplos de cómo generar una clave de firma .................................................................... 122
Ejemplos de firma (Python) ............................................................................................... 125
Conjunto de pruebas ....................................................................................................... 132
Solución de problemas ..................................................................................................... 134
Referencia específica del servicio ...................................................................................... 137
Proceso de firma de Signature Version 2 .................................................................................... 137
Regiones y servicios admitidos ......................................................................................... 138
Componentes de una solicitud de consulta para Signature Version 2 ....................................... 138
Cómo generar una versión de firma Signature Version 2 para una solicitud de consulta .............. 140
Límites de los servicios de AWS ....................................................................................................... 146
Límites de Amazon API Gateway .............................................................................................. 148
Límites de AWS Application Discovery Service ............................................................................ 149
Límites de Amazon AppStream ................................................................................................. 149
Límites de Amazon AppStream 2.0 ............................................................................................ 149
Límites de Application Auto Scaling ........................................................................................... 150
Límites de Amazon Athena ....................................................................................................... 150
Límites de Auto Scaling ........................................................................................................... 150
Límites de AWS Batch ............................................................................................................. 151
Límites de AWS Certificate Manager (ACM) ................................................................................ 151
Límites de AWS CloudFormation ............................................................................................... 151
Límites de Amazon CloudFront ................................................................................................. 151
Límites de AWS CloudHSM ...................................................................................................... 152
Límites de Amazon CloudSearch ............................................................................................... 152
Límites de Amazon CloudWatch ................................................................................................ 152
Límites de Amazon CloudWatch Events ..................................................................................... 153
Límites de Amazon CloudWatch Logs ........................................................................................ 154
Límites de AWS CodeBuild ...................................................................................................... 154
Version 1.0
vi
Límites de AWS CodeCommit ................................................................................................... 155

Límites de AWS CodeDeploy .................................................................................................... 155
Límites de AWS CodePipeline .................................................................................................. 155
Límites de Amazon Cognito Your User Pools .............................................................................. 156
Límites de Amazon Cognito Federated Identities .......................................................................... 156
Límites de Amazon Connect ..................................................................................................... 156
Límites de Amazon Cognito Sync .............................................................................................. 157
Límites de AWS Config ............................................................................................................ 158
Límites de AWS Data Pipeline .................................................................................................. 158
Límites de AWS Database Migration Service ............................................................................... 158
Límites de AWS Device Farm ................................................................................................... 159
Límites de AWS Direct Connect ................................................................................................ 159
Límites de AWS Directory Service ............................................................................................. 159
Límites de Amazon DynamoDB ................................................................................................. 160
Límites de Amazon EC2 Container Registry (Amazon ECR) .......................................................... 160
Límites de Amazon EC2 Container Service (Amazon ECS) ............................................................ 161
Límites de Amazon EC2 Systems Manager ................................................................................. 161
Límites de AWS Elastic Beanstalk ............................................................................................. 163
Límites de Amazon Elastic Block Store (Amazon EBS) ................................................................. 163
Límites de Amazon Elastic Compute Cloud (Amazon EC2) ............................................................ 164
Límites de Amazon Elastic File System ...................................................................................... 165
Límites de Elastic Load Balancing ............................................................................................. 165
Límites de Amazon Elastic Transcoder ....................................................................................... 166
Límites de Amazon ElastiCache ................................................................................................ 166
Límites de Amazon Elasticsearch Service ................................................................................... 167
Límites de Amazon GameLift .................................................................................................... 167
Límites de AWS Identity and Access Management (IAM) ............................................................... 168
Límites de AWS Import/Export .................................................................................................. 168
AWS Snowball (Snowball) ................................................................................................ 168
Límites de Amazon Inspector .................................................................................................... 168
Límites de AWS IoT ................................................................................................................ 169
Límites de agentes de mensajes ....................................................................................... 169
Límites de Device Shadow ............................................................................................... 172
Límites de seguridad e identidad ....................................................................................... 173
Límites de limitación ........................................................................................................ 173
Límites del motor de reglas de AWS IoT ............................................................................ 175
Límites de AWS Key Management Service (AWS KMS) ................................................................ 175
Límites de Amazon Kinesis Firehose .......................................................................................... 175
Límites de Amazon Kinesis Streams .......................................................................................... 176
Límites de AWS Lambda .......................................................................................................... 176
Límites de Amazon Lightsail ..................................................................................................... 176
Límites de Amazon Machine Learning (Amazon ML) .................................................................... 177
Límites de AWS OpsWorks for Chef Automate ............................................................................ 177
Límites de AWS OpsWorks Stacks ............................................................................................ 177
Límites de AWS Organizations .................................................................................................. 178
Límites de Amazon Polly .......................................................................................................... 178
Límites de Amazon Pinpoint ..................................................................................................... 178
Límites de Amazon Redshift ..................................................................................................... 179
Límites de Amazon Relational Database Service (Amazon RDS) .................................................... 179
Límites de Amazon Route 53 .................................................................................................... 180
Límites de AWS Server Migration Service ................................................................................... 181
Límites de AWS Service Catalog ............................................................................................... 181
Límites de AWS Shield Advanced ............................................................................................. 181
Límites de Amazon Simple Email Service (Amazon SES) .............................................................. 181
Límites de Amazon Simple Notification Service (Amazon SNS) ...................................................... 182
Límites de limitación de API de Amazon SNS ...................................................................... 182
Amazon Simple Queue Service (Amazon SQS) ........................................................................... 183
Version 1.0
vii
Límites de Amazon Simple Storage Service (Amazon S3) ............................................................. 183

Límites de Amazon Simple Workflow Service (Amazon SWF) ........................................................ 183
Límites de Amazon SimpleDB ................................................................................................... 183
Límites de Amazon Virtual Private Cloud (Amazon VPC) ............................................................... 183
Límites de AWS WAF .............................................................................................................. 187
Límites de Amazon WorkSpaces ............................................................................................... 188
Rangos de direcciones IP de AWS .................................................................................................... 189
Descargar .............................................................................................................................. 189
Sintaxis .................................................................................................................................. 189
Filtrado del archivo JSON ......................................................................................................... 191
Windows ........................................................................................................................ 191
Linux ............................................................................................................................. 192
Implementación del control de salidas ........................................................................................ 192
Notificaciones de rangos de direcciones IP de AWS ..................................................................... 192
Reintentos de API ........................................................................................................................... 195
Herramientas de línea de comandos de AWS ..................................................................................... 198
AWS Command Line Interface (AWS CLI) .................................................................................. 198
Herramientas anteriores de interfaz de línea de comandos de AWS ................................................ 198
Document Conventions .................................................................................................................... 201
Typographical Conventions ....................................................................................................... 201
Symbol Conventions ................................................................................................................ 202
Historial de documentación ............................................................................................................... 204
AWS Glossary ................................................................................................................................ 206
Version 1.0
viii
Referencia general de AWS
Esta es la Referencia general de documentación de AWS. Abarca los siguientes temas:
• Regiones y puntos de conexión de AWS (p. 2)

• Credenciales de seguridad de AWS (p. 69)
• Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS (p. 84)
• Firma de solicitudes de la API de AWS (p. 106)
• Límites de los servicios de AWS (p. 146)
• Tareas de AWS que requieren un usuario raíz de la cuenta (p. 70)
• Rangos de direcciones IP de AWS (p. 189)
• Reintentos de error y retardo exponencial en AWS (p. 195)
• Herramientas de línea de comandos de AWS (p. 198)
• AWS Glossary (p. 206)
Version 1.0
1
Regiones y puntos de conexión de

AWS
Para reducir la latencia de datos de las aplicaciones, la mayoría de Amazon Web Services ofrecen un
punto de conexión regional para realizar solicitudes. Un punto de conexión es una URL que es el punto de
entrada de un servicio web. Por ejemplo, https://dynamodb.us-west-2.amazonaws.com es un punto de
entrada del servicio de Amazon DynamoDB.
Algunos servicios, como IAM, no admiten regiones; por tanto, sus puntos de conexión no incluyen una
región. Algunos servicios, como Amazon EC2, permiten especificar un punto de conexión que no incluya
una región específica, por ejemplo, https://ec2.amazonaws.com. En ese caso, AWS enruta el punto de
conexión a us-east-1.
Si un servicio admite regiones, los recursos de cada región son independientes. Por ejemplo, si crea una
instancia Amazon EC2 o una cola de Amazon SQS en una región, la instancia o cola es independiente de
las instancias o colas de otra región.
Encontrará información sobre las regiones y puntos de conexión en las fuentes siguientes:
• Para ver los servicios compatibles por región en formato de pestañas, consulte la Tabla de regiones.
Esta página no contiene información de puntos de conexión.
• Para obtener más información acerca de los puntos de conexión y los servicios de AWS disponibles en
la región China (Beijing), consulte China (Beijing) Region Endpoints.
• Para obtener más información acerca de los puntos de conexión y los servicios de AWS disponibles en
la región AWS GovCloud (US), consulte AWS GovCloud (US) Endpoints.
• Para obtener información sobre qué regiones y puntos de conexión se admiten para cada servicio,
consulte las siguientes tablas.
Temas
• Amazon API Gateway (p. 4)
• Application Auto Scaling (p. 5)
• Amazon AppStream (p. 6)
• Amazon AppStream 2.0 (p. 6)
• Athena (p. 7)
• Auto Scaling (p. 7)
• AWS Batch (p. 8)
• AWS Certificate Manager (p. 8)
• Amazon Cloud Directory (p. 9)
Version 1.0
2
• AWS CloudFormation (p. 10)

• Amazon CloudFront (p. 11)
• AWS CloudHSM (p. 11)
• Amazon CloudSearch (p. 12)
• AWS CloudTrail (p. 12)
• Amazon CloudWatch (p. 13)
• Amazon CloudWatch Events (p. 14)
• Amazon CloudWatch Logs (p. 15)
• AWS CodeBuild (p. 16)
• AWS CodeCommit (p. 16)
• AWS CodeDeploy (p. 17)
• AWS CodePipeline (p. 18)
• Amazon Cognito Identity (p. 18)
• Amazon Cognito Sync (p. 20)
• AWS Config (p. 20)
• AWS Data Pipeline (p. 22)
• AWS Database Migration Service (p. 22)
• AWS Device Farm (p. 23)
• Amazon DevPay (p. 23)
• AWS Direct Connect (p. 24)
• AWS Directory Service (p. 25)
• Amazon DynamoDB (p. 25)
• Amazon DynamoDB Streams (p. 26)
• Amazon EC2 Container Registry (p. 27)
• Amazon EC2 Container Service (p. 28)
• Amazon EC2 Systems Manager (p. 29)
• AWS Elastic Beanstalk (p. 30)
• AWS Elastic Beanstalk Health Service (p. 31)
• Amazon Elastic Compute Cloud (Amazon EC2) (p. 31)
• Amazon Elastic File System (p. 33)
• Elastic Load Balancing (p. 33)
• Amazon Elastic Transcoder (p. 34)
• Amazon ElastiCache (p. 35)
• Amazon Elasticsearch Service (p. 36)
• Amazon EMR (p. 36)
• Amazon GameLift (p. 38)
• Amazon Glacier (p. 38)
• AWS Health (p. 39)
• AWS Identity and Access Management (IAM) (p. 39)
• AWS Import/Export (p. 39)
• Amazon Inspector (p. 40)
• AWS IoT (p. 40)
• AWS Key Management Service (p. 42)
• Amazon Kinesis Analytics (p. 43)
• Amazon Kinesis Firehose (p. 43)
• Amazon Kinesis Streams (p. 43)
Version 1.0
3
Amazon API Gateway
• AWS Lambda (p. 44)

• Amazon Lex (p. 45)
• Amazon Lightsail (p. 45)
• Amazon Machine Learning (p. 45)
• Amazon Mechanical Turk (p. 45)
• Amazon Mobile Analytics (p. 46)
• AWS OpsWorks (p. 46)
• AWS Organizations (p. 48)
• Amazon Pinpoint (p. 48)
• Amazon Polly (p. 48)
• Amazon Redshift (p. 48)
• Amazon Rekognition (p. 49)
• Amazon Relational Database Service (Amazon RDS) (p. 50)
• Amazon Route 53 (p. 51)
• AWS Security Token Service (AWS STS) (p. 51)
• AWS Service Catalog (p. 52)
• AWS Shield Advanced (p. 53)
• Amazon Simple Email Service (Amazon SES) (p. 53)
• Amazon Simple Notification Service (Amazon SNS) (p. 54)
• Amazon Simple Queue Service (Amazon SQS) (p. 55)
• Amazon Simple Storage Service (Amazon S3) (p. 56)
• Amazon Simple Workflow Service (Amazon SWF) (p. 60)
• Amazon SimpleDB (p. 61)
• AWS Snowball (p. 62)
• AWS Step Functions (p. 63)
• AWS Storage Gateway (p. 64)
• AWS Support (p. 64)
• Amazon VPC (p. 65)
• AWS WAF (p. 66)
• Amazon WorkDocs (p. 66)
• Amazon WorkMail (p. 66)
• Amazon WorkSpaces (p. 67)
• AWS X-Ray (p. 68)
Amazon API Gateway

Nombre de Región Punto de conexión Protocolo
la región
US East (N. us-east-1 apigateway.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 apigateway.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 apigateway.us-west-1.amazonaws.com HTTPS

Oeste
Version 1.0
4
Application Auto Scaling

la región
(Norte de
California)
EE.UU. us-west-2 apigateway.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacific ap-south-1 apigateway.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- apigateway.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- apigateway.ap-southeast-1.amazonaws.com HTTPS

(Singapur) southeast-1
Asia Pacífico ap- apigateway.ap-southeast-2.amazonaws.com HTTPS

(Sídney) southeast-2
Asia Pacífico ap- apigateway.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 apigateway.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 apigateway.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 apigateway.eu-west-2.amazonaws.com HTTPS
Application Auto Scaling

la región
US East (N. us-east-1 autoscaling.us-east-1.amazonaws.com HTTP y

Virginia) HTTPS
US East us-east-2 autoscaling.us-east-2.amazonaws.com HTTP y

(Ohio) HTTPS
EE.UU. us-west-1 autoscaling.us-west-1.amazonaws.com HTTP y

Oeste HTTPS
(Norte de
California)
EE.UU. us-west-2 autoscaling.us-west-2.amazonaws.com HTTP y

Oeste HTTPS
(Oregón)
Canada ca-central-1 autoscaling.ca-central-1.amazonaws.com HTTP y

(Central) HTTPS
Asia Pacific ap-south-1 autoscaling.ap-south-1.amazonaws.com HTTP y

(Mumbai) HTTPS
Version 1.0
5
Amazon AppStream

la región
Asia Pacífico ap- autoscaling.ap-northeast-2.amazonaws.com HTTP y

(Seúl) northeast-2 HTTPS
Asia Pacífico ap- autoscaling.ap-southeast-1.amazonaws.com HTTP y

(Singapur) southeast-1 HTTPS
Asia Pacífico ap- autoscaling.ap-southeast-2.amazonaws.com HTTP y

(Sídney) southeast-2 HTTPS
Asia Pacífico ap- autoscaling.ap-northeast-1.amazonaws.com HTTP y

(Tokio) northeast-1 HTTPS
UE eu-central-1 autoscaling.eu-central-1.amazonaws.com HTTP y

(Fráncfort) HTTPS
UE (Irlanda) eu-west-1 autoscaling.eu-west-1.amazonaws.com HTTP y

HTTPS
EU (London) eu-west-2 autoscaling.eu-west-2.amazonaws.com HTTP y

HTTPS
América del sa-east-1 autoscaling.sa-east-1.amazonaws.com HTTP y

Sur (São HTTPS
Paulo)
Amazon AppStream
la región
US East (N. us-east-1 appstream.us-east-1.amazonaws.com HTTPS

Virginia)
Asia Pacífico ap- appstream.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Amazon AppStream 2.0

la región
US East (N. us-east-1 appstream2.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 appstream2.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
UE (Irlanda) eu-west-1 appstream2.eu-west-1.amazonaws.com HTTPS
Asia Pacífico ap- appstream2.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Version 1.0
6
Athena
Athena
Nombre Región Punto de conexión Cadena de conexión Protocolo
de la
región
US us-east-1 athena.us- jdbc:awsathena://athena.us- HTTPS

East (N. east-1.amazonaws.comeast-1.amazonaws.com
Virginia)
US East us-east-2 athena.us- jdbc:awsathena://athena.us- HTTPS

(Ohio) east-2.amazonaws.comeast-2.amazonaws.com
EE.UU. us-west-2 athena.us- jdbc:awsathena://athena.us- HTTPS

Oeste west-2.amazonaws.comwest-2.amazonaws.com
(Oregón)
Note
Utilice la cadena de conexión para conectarse al servicio mediante el controlador JDBC (Java
Database Connectivity).
Auto Scaling
Region Region Endpoint Protocol
Name
US East us-east-2 autoscaling.us-east-2.amazonaws.com HTTP and

(Ohio) HTTPS
US East (N. us-east-1 autoscaling.us-east-1.amazonaws.com HTTP and

Virginia) HTTPS
EE.UU. us-west-1 autoscaling.us-west-1.amazonaws.com HTTP and

Oeste HTTPS
(Norte de
California)
EE.UU. us-west-2 autoscaling.us-west-2.amazonaws.com HTTP and

Oeste HTTPS
(Oregón)
Canada ca-central-1 autoscaling.ca-central-1.amazonaws.com HTTP and

(Central) HTTPS
Asia Pacific ap-south-1 autoscaling.ap-south-1.amazonaws.com HTTP and

(Mumbai) HTTPS
Asia Pacífico ap- autoscaling.ap-northeast-2.amazonaws.com HTTP and

Asia Pacífico ap- autoscaling.ap-southeast-1.amazonaws.com HTTP and

Asia Pacífico ap- autoscaling.ap-southeast-2.amazonaws.com HTTP and

Version 1.0
7
AWS Batch

Name
Asia Pacífico ap- autoscaling.ap-northeast-1.amazonaws.com HTTP and

UE eu-central-1 autoscaling.eu-central-1.amazonaws.com HTTP and

(Fráncfort) HTTPS
UE (Irlanda) eu-west-1 autoscaling.eu-west-1.amazonaws.com HTTP and

HTTPS
EU (London) eu-west-2 autoscaling.eu-west-2.amazonaws.com HTTP and

HTTPS
América del sa-east-1 autoscaling.sa-east-1.amazonaws.com HTTP and

Sur (São HTTPS
Paulo)
Si solo especifica el punto de conexión general (autoscaling.amazonaws.com), Auto Scaling dirige su

solicitud al punto de conexión de us-east-1.
For information about using Auto Scaling in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Auto Scaling in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
AWS Batch
la región
US East (N. us-east-1 batch.us-east-1.amazonaws.com HTTPS

Virginia)
AWS Certificate Manager

Name
US East us-east-2 acm.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 acm.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 acm.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
Version 1.0
8
Amazon Cloud Directory

Name
EE.UU. us-west-2 acm.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 acm.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 acm.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- acm.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- acm.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- acm.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- acm.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 acm.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 acm.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 acm.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 acm.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
Amazon Cloud Directory

la región
US East (N. us-east-1 clouddirectory.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 clouddirectory.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-2 clouddirectory.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- clouddirectory.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- clouddirectory.ap-southeast-2.amazonaws.com HTTPS

Version 1.0
9
AWS CloudFormation

la región
UE (Irlanda) eu-west-1 clouddirectory.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 clouddirectory.eu-west-2.amazonaws.com HTTPS
AWS CloudFormation
Name
US East us-east-2 cloudformation.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 cloudformation.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 cloudformation.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 cloudformation.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 cloudformation.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 cloudformation.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- cloudformation.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- cloudformation.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- cloudformation.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- cloudformation.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 cloudformation.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 cloudformation.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 cloudformation.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 cloudformation.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
Version 1.0
10
Amazon CloudFront
For information about using AWS CloudFormation in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using AWS CloudFormation in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Amazon CloudFront
Las distribuciones de Amazon CloudFront tienen un único punto de conexión, cloudfront.amazonaws.com,
y solo admiten solicitudes HTTPS. Al enviar solicitudes a CloudFront mediante programación, especifique
us-east-1 para Región EE.UU. Este (Norte de Virginia).
El valor de ID de la zona alojada de CloudFront es Z2FDTNDATAQYW2.
AWS CloudHSM
Nombre de la Región Punto de conexión Protocolo
región
US East (N. us-east-1 cloudhsm.us-east-1.amazonaws.com HTTPS

Virginia)
US East (Ohio) us-east-2 cloudhsm.us-east-2.amazonaws.com HTTPS
EE.UU. Oeste us-west-1 cloudhsm.us-west-1.amazonaws.com HTTPS

(Norte de
California)
EE.UU. Oeste us-west-2 cloudhsm.us-west-2.amazonaws.com HTTPS

(Oregón)
Canada ca-central-1 cloudhsm.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacífico ap-southeast-1 cloudhsm.ap-southeast-1.amazonaws.com HTTPS

(Singapur)
Asia Pacífico ap-southeast-2 cloudhsm.ap-southeast-2.amazonaws.com HTTPS

(Sídney)
Asia Pacífico ap-northeast-1 cloudhsm.ap-northeast-1.amazonaws.com HTTPS

(Tokio)
UE (Fráncfort) eu-central-1 cloudhsm.eu-central-1.amazonaws.com HTTPS
UE (Irlanda) eu-west-1 cloudhsm.eu-west-1.amazonaws.com HTTPS
For information about using AWS CloudHSM in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
Version 1.0
11
Amazon CloudSearch
Amazon CloudSearch
la región
US East (N. us-east-1 cloudsearch.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 cloudsearch.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 cloudsearch.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- cloudsearch.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- cloudsearch.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- cloudsearch.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- cloudsearch.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 cloudsearch.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 cloudsearch.eu-west-1.amazonaws.com HTTPS
América del sa-east-1 cloudsearch.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
AWS CloudTrail
Name
US East us-east-2 cloudtrail.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 cloudtrail.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 cloudtrail.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 cloudtrail.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Version 1.0
12
Amazon CloudWatch

Name
Canada ca-central-1 cloudtrail.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 cloudtrail.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- cloudtrail.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- cloudtrail.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- cloudtrail.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- cloudtrail.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 cloudtrail.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 cloudtrail.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 cloudtrail.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 cloudtrail.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using AWS CloudTrail in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using AWS CloudTrail in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Amazon CloudWatch
región
US East (N. us-east-1 monitoring.us-east-1.amazonaws.com HTTP y HTTPS

Virginia)
US East (Ohio) us-east-2 monitoring.us-east-2.amazonaws.com HTTP y HTTPS
EE.UU. Oeste us-west-1 monitoring.us-west-1.amazonaws.com HTTP y HTTPS

(Norte de
California)
EE.UU. Oeste us-west-2 monitoring.us-west-2.amazonaws.com HTTP y HTTPS

(Oregón)
Canada (Central) ca-central-1 monitoring.ca-central-1.amazonaws.com HTTP y HTTPS
Version 1.0
13
Amazon CloudWatch Events

región
Asia Pacific ap-south-1 monitoring.ap-south-1.amazonaws.com HTTP y HTTPS

(Mumbai)
Asia Pacífico ap-northeast-2 monitoring.ap-northeast-2.amazonaws.com HTTP y HTTPS

(Seúl)
Asia Pacífico ap-southeast-1 monitoring.ap-southeast-1.amazonaws.com HTTP y HTTPS

(Singapur)
Asia Pacífico ap-southeast-2 monitoring.ap-southeast-2.amazonaws.com HTTP y HTTPS

(Sídney)
Asia Pacífico ap-northeast-1 monitoring.ap-northeast-1.amazonaws.com HTTP y HTTPS

(Tokio)
UE (Fráncfort) eu-central-1 monitoring.eu-central-1.amazonaws.com HTTP y HTTPS
UE (Irlanda) eu-west-1 monitoring.eu-west-1.amazonaws.com HTTP y HTTPS
EU (London) eu-west-2 monitoring.eu-west-2.amazonaws.com HTTP y HTTPS
América del Sur sa-east-1 monitoring.sa-east-1.amazonaws.com HTTP y HTTPS

(São Paulo)
For information about using Amazon CloudWatch in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using Amazon CloudWatch in the China (Beijing) Region, see China (Beijing) Region
Endpoints.

región
US East (N. us-east-1 events.us-east-1.amazonaws.com HTTPS

Virginia)
US East (Ohio) us-east-2 events.us-east-2.amazonaws.com HTTPS
EE.UU. Oeste us-west-1 events.us-west-1.amazonaws.com HTTPS

(Norte de
California)
EE.UU. Oeste us-west-2 events.us-west-2.amazonaws.com HTTPS

(Oregón)
Canada (Central) ca-central-1 events.ca-central-1.amazonaws.com HTTPS
Asia Pacific ap-south-1 events.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap-northeast-2 events.ap-northeast-2.amazonaws.com HTTPS

(Seúl)
Version 1.0
14
Amazon CloudWatch Logs

región
Asia Pacífico ap-southeast-1 events.ap-southeast-1.amazonaws.com HTTPS

(Singapur)
Asia Pacífico ap-southeast-2 events.ap-southeast-2.amazonaws.com HTTPS

(Sídney)
Asia Pacífico ap-northeast-1 events.ap-northeast-1.amazonaws.com HTTPS

(Tokio)
UE (Fráncfort) eu-central-1 events.eu-central-1.amazonaws.com HTTPS
UE (Irlanda) eu-west-1 events.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 events.eu-west-2.amazonaws.com HTTPS
América del Sur sa-east-1 events.sa-east-1.amazonaws.com HTTPS

(São Paulo)

región
US East (N. us-east-1 logs.us-east-1.amazonaws.com HTTPS

Virginia)
US East (Ohio) us-east-2 logs.us-east-2.amazonaws.com HTTPS
EE.UU. Oeste us-west-1 logs.us-west-1.amazonaws.com HTTPS

(Norte de
California)
EE.UU. Oeste us-west-2 logs.us-west-2.amazonaws.com HTTPS

(Oregón)
Canada (Central) ca-central-1 logs.ca-central-1.amazonaws.com HTTPS
Asia Pacific ap-south-1 logs.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap-northeast-2 logs.ap-northeast-2.amazonaws.com HTTPS

(Seúl)
Asia Pacífico ap-southeast-1 logs.ap-southeast-1.amazonaws.com HTTPS

(Singapur)
Asia Pacífico ap-southeast-2 logs.ap-southeast-2.amazonaws.com HTTPS

(Sídney)
Asia Pacífico ap-northeast-1 logs.ap-northeast-1.amazonaws.com HTTPS

(Tokio)
UE (Fráncfort) eu-central-1 logs.eu-central-1.amazonaws.com HTTPS
UE (Irlanda) eu-west-1 logs.eu-west-1.amazonaws.com HTTPS
Version 1.0
15
AWS CodeBuild

región
EU (London) eu-west-2 logs.eu-west-2.amazonaws.com HTTPS
América del Sur sa-east-1 logs.sa-east-1.amazonaws.com HTTPS

(São Paulo)
For information about using Amazon CloudWatch Logs in the AWS GovCloud (US), Region, see AWS
GovCloud (US) Endpoints.
For information about using Amazon CloudWatch Logs in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
AWS CodeBuild
la región
US East (N. us-east-1 codebuild.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 codebuild.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-2 codebuild.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
UE (Irlanda) eu-west-1 codebuild.eu-west-1.amazonaws.com HTTPS
Asia Pacífico ap- codebuild.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Asia Pacífico ap- codebuild.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- codebuild.ap-southeast-2.amazonaws.com HTTPS

UE eu-central-1 codebuild.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
AWS CodeCommit
la región
US East (N. us-east-1 codecommit.us-east-1.amazonaws.com HTTPS y

Virginia) SSH
US East us-east-2 codecommit.us-east-2.amazonaws.com HTTPS y

(Ohio) SSH
Version 1.0
16
AWS CodeDeploy

la región
EE.UU. us-west-2 codecommit.us-west-2.amazonaws.com HTTPS y

Oeste SSH
(Oregón)
UE (Irlanda) eu-west-1 codecommit.eu-west-1.amazonaws.com HTTPS y

SSH
Para obtener información acerca de los puntos de conexión de Git, consulte Regions and Git Connection
Endpoints for AWS CodeCommit.
AWS CodeDeploy
la región
US East (N. us-east-1 codedeploy.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 codedeploy.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 codedeploy.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 codedeploy.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 codedeploy.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 codedeploy.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- codedeploy.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- codedeploy.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- codedeploy.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- codedeploy.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 codedeploy.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 codedeploy.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 codedeploy.eu-west-2.amazonaws.com HTTPS
Version 1.0
17
AWS CodePipeline

la región
América del sa-east-1 codedeploy.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using AWS CodeDeploy in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
AWS CodePipeline
la región
US East (N. us-east-1 codepipeline.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 codepipeline.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-2 codepipeline.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
UE (Irlanda) eu-west-1 codepipeline.eu-west-1.amazonaws.com HTTPS
UE eu-central-1 codepipeline.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
Asia Pacífico ap- codepipeline.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Asia Pacífico ap- codepipeline.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- codepipeline.ap-southeast-2.amazonaws.com HTTPS

América del sa-east-1 codepipeline.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
Amazon Cognito Identity

Amazon Cognito Identity incluye Amazon Cognito Your User Pools y Amazon Cognito Federated Identities.
Amazon Cognito Your User Pools

la región
US East (N. us-east-1 cognito-idp.us-east-1.amazonaws.com HTTPS

Virginia)
Version 1.0
18
Amazon Cognito Federated Identities

la región
EE. UU. us-east-2 cognito-idp.us-east-2.amazonaws.com HTTPS

Este (Ohio)
EE.UU. us-west-2 cognito-idp.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- cognito-idp.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- cognito-idp.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- cognito-idp.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 cognito-idp.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 cognito-idp.eu-west-1.amazonaws.com HTTPS
UE eu-west-2 cognito-idp.eu-west-2.amazonaws.com HTTPS

(Londres)

la región
US East (N. us-east-1 cognito-identity.us-east-1.amazonaws.com HTTPS

Virginia)
EE. UU. us-east-2 cognito-identity.us-east-2.amazonaws.com HTTPS

Este (Ohio)
EE.UU. us-west-2 cognito-identity.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- cognito-identity.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- cognito-identity.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- cognito-identity.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 cognito-identity.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 cognito-identity.eu-west-1.amazonaws.com HTTPS
UE eu-west-2 cognito-identity.eu-west-2.amazonaws.com HTTPS

(Londres)
Version 1.0
19
Amazon Cognito Sync
Amazon Cognito Sync

la región
US East (N. us-east-1 cognito-sync.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 cognito-sync.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-2 cognito-sync.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- cognito-sync.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- cognito-sync.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- cognito-sync.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 cognito-sync.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 cognito-sync.eu-west-1.amazonaws.com HTTPS
UE eu-west-2 cognito-sync.eu-west-2.amazonaws.com HTTPS

(Londres)
AWS Config
la región
US East (N. us-east-1 config.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 config.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 config.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)

Oeste
(Oregón)
Canada ca-central-1 config.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 config.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Version 1.0
20
Reglas de AWS Config

la región
Asia Pacífico ap- config.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- config.ap-southeast-1.amazonaws.com HTTPS



(Tokio) northeast-1
UE eu-central-1 config.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 config.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using AWS Config in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using AWS Config in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Reglas de AWS Config

Puede utilizar las reglas de AWS Config para evaluar sus configuraciones de recursos de AWS en las
siguientes regiones.

la región
US East (N. us-east-1 config.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 config.us-east-2.amazonaws.com HTTPS

(Ohio)

Oeste
(Norte de
California)

Oeste
(Oregón)

(Seúl) northeast-2
Version 1.0
21
AWS Data Pipeline

la región



(Tokio) northeast-1
UE eu-central-1 config.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 config.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 config.eu-west-2.amazonaws.com HTTPS
AWS Data Pipeline

la región
US East (N. us-east-1 datapipeline.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 datapipeline.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- datapipeline.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- datapipeline.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE (Irlanda) eu-west-1 datapipeline.eu-west-1.amazonaws.com HTTPS
AWS Database Migration Service

Name
US East us-east-2 dms.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 dms.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 dms.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
Version 1.0
22
AWS Device Farm

Name
EE.UU. us-west-2 dms.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 dms.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 dms.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- dms.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- dms.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- dms.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- dms.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 dms.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 dms.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 dms.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 dms.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
AWS Device Farm

la región
EE.UU. us-west-2 devicefarm.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Amazon DevPay
región
n/a n/a ls.amazonaws.com HTTPS
Version 1.0
23
AWS Direct Connect
AWS Direct Connect

Name
US East us-east-2 directconnect.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 directconnect.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 directconnect.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 directconnect.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 directconnect.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 directconnect.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- directconnect.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- directconnect.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- directconnect.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- directconnect.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 directconnect.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 directconnect.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 directconnect.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 directconnect.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using AWS Direct Connect in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using AWS Direct Connect in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
24
AWS Directory Service
AWS Directory Service

la región
US East (N. us-east-1 ds.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 ds.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-2 ds.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 ds.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacífico ap- ds.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- ds.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- ds.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- ds.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 ds.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 ds.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 ds.eu-west-2.amazonaws.com HTTPS
Solo AWS Directory Service for Microsoft Active Directory (Enterprise Edition) está disponible en UE
(Fráncfort).
Amazon DynamoDB
Name
US East us-east-2 dynamodb.us-east-2.amazonaws.com HTTP and

(Ohio) HTTPS
US East (N. us-east-1 dynamodb.us-east-1.amazonaws.com HTTP and

Virginia) HTTPS
EE.UU. us-west-1 dynamodb.us-west-1.amazonaws.com HTTP and

Oeste HTTPS
(Norte de
California)
Version 1.0
25
Amazon DynamoDB Streams

Name
EE.UU. us-west-2 dynamodb.us-west-2.amazonaws.com HTTP and

Oeste HTTPS
(Oregón)
Canada ca-central-1 dynamodb.ca-central-1.amazonaws.com HTTP and

(Central) HTTPS
Asia Pacific ap-south-1 dynamodb.ap-south-1.amazonaws.com HTTP and

(Mumbai) HTTPS
Asia Pacífico ap- dynamodb.ap-northeast-2.amazonaws.com HTTP and

Asia Pacífico ap- dynamodb.ap-southeast-1.amazonaws.com HTTP and

Asia Pacífico ap- dynamodb.ap-southeast-2.amazonaws.com HTTP and

Asia Pacífico ap- dynamodb.ap-northeast-1.amazonaws.com HTTP and

UE eu-central-1 dynamodb.eu-central-1.amazonaws.com HTTP and

(Fráncfort) HTTPS
UE (Irlanda) eu-west-1 dynamodb.eu-west-1.amazonaws.com HTTP and

HTTPS
EU (London) eu-west-2 dynamodb.eu-west-2.amazonaws.com HTTP and

HTTPS
América del sa-east-1 dynamodb.sa-east-1.amazonaws.com HTTP and

Sur (São HTTPS
Paulo)
For information about using Amazon DynamoDB in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using Amazon DynamoDB in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Amazon DynamoDB Streams

Name
US East us-east-2 streams.dynamodb.us-east-2.amazonaws.com HTTP and

(Ohio) HTTPS
US East (N. us-east-1 streams.dynamodb.us-east-1.amazonaws.com HTTP and

Virginia) HTTPS
EE.UU. us-west-1 streams.dynamodb.us-west-1.amazonaws.com HTTP and

Oeste HTTPS
Version 1.0
26
Amazon EC2 Container Registry

Name
(Norte de
California)
EE.UU. us-west-2 streams.dynamodb.us-west-2.amazonaws.com HTTP and

Oeste HTTPS
(Oregón)
Canada ca-central-1 streams.dynamodb.ca-central-1.amazonaws.com HTTP and

(Central) HTTPS
Asia Pacific ap-south-1 streams.dynamodb.ap-south-1.amazonaws.com HTTP and

(Mumbai) HTTPS
Asia Pacífico ap- streams.dynamodb.ap-northeast-2.amazonaws.com HTTP and

Asia Pacífico ap- streams.dynamodb.ap-southeast-1.amazonaws.com HTTP and

Asia Pacífico ap- streams.dynamodb.ap-southeast-2.amazonaws.com HTTP and

Asia Pacífico ap- streams.dynamodb.ap-northeast-1.amazonaws.com HTTP and

UE eu-central-1 streams.dynamodb.eu-central-1.amazonaws.com HTTP and

(Fráncfort) HTTPS
UE (Irlanda) eu-west-1 streams.dynamodb.eu-west-1.amazonaws.com HTTP and

HTTPS
EU (London) eu-west-2 streams.dynamodb.eu-west-2.amazonaws.com HTTP and

HTTPS
América del sa-east-1 streams.dynamodb.sa-east-1.amazonaws.com HTTP and

Sur (São HTTPS
Paulo)
For information about using Amazon DynamoDB Streams in the AWS GovCloud (US), Region, see AWS
For information about using Amazon DynamoDB Streams in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
Amazon EC2 Container Registry

la región
US East (N. us-east-1 ecr.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 ecr.us-east-2.amazonaws.com HTTPS

(Ohio)
Version 1.0
27
Amazon EC2 Container Service

la región
EE.UU. us-west-1 ecr.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 ecr.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 ecr.ca-central-1.amazonaws.com HTTPS

(Central)
UE eu-central-1 ecr.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 ecr.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 ecr.eu-west-2.amazonaws.com HTTPS
Asia Pacífico ap- ecr.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Asia Pacífico ap- ecr.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- ecr.ap-southeast-2.amazonaws.com HTTPS

Amazon EC2 Container Service

la región
US East (N. us-east-1 ecs.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 ecs.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 ecs.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 ecs.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 ecs.ca-central-1.amazonaws.com HTTPS

(Central)
UE eu-central-1 ecs.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 ecs.eu-west-1.amazonaws.com HTTPS
Version 1.0
28
Amazon EC2 Systems Manager

la región
EU (London) eu-west-2 ecs.eu-west-2.amazonaws.com HTTPS
Asia Pacífico ap- ecs.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Asia Pacífico ap- ecs.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- ecs.ap-southeast-2.amazonaws.com HTTPS

Amazon EC2 Systems Manager

la región
US East (N. us-east-1 ssm.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 ssm.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 ssm.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 ssm.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- ssm.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- ssm.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- ssm.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Asia Pacífico ap- ssm.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
UE eu-central-1 ssm.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 ssm.eu-west-1.amazonaws.com HTTPS
América del sa-east-1 ssm.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using Amazon EC2 Systems Manager in the China (Beijing) Region, see China
(Beijing) Region Endpoints.
Version 1.0
29
AWS Elastic Beanstalk

Nombre de Región Punto de conexión Protocolo ID de zona alojada
la región de Amazon
Route 53
US East (N. us-east-1 elasticbeanstalk.us- HTTPS Z117KPS5GTRQ2G

Virginia) east-1.amazonaws.com
US East us-east-2 elasticbeanstalk.us- HTTPS Z14LCN19Q5QHIC

(Ohio) east-2.amazonaws.com
EE.UU. us-west-1 elasticbeanstalk.us- HTTPS Z1LQECGX5PH1X

Oeste west-1.amazonaws.com
(Norte de
California)
EE.UU. us-west-2 elasticbeanstalk.us- HTTPS Z38NKT9BP95V3O

(Oregón)
Canada ca-central-1 elasticbeanstalk.ca- HTTPS ZJFCZL7SSZB5I

(Central) central-1.amazonaws.com
Asia Pacific ap-south-1 elasticbeanstalk.ap- HTTPS Z18NTBI3Y7N9TZ

(Mumbai) south-1.amazonaws.com
Asia Pacífico ap- elasticbeanstalk.ap- HTTPS Z3JE5OI70TWKCP

(Seúl) northeast-2 northeast-2.amazonaws.com
Asia Pacífico ap- elasticbeanstalk.ap- HTTPS Z16FZ9L249IFLT

(Singapur) southeast-1 southeast-1.amazonaws.com
Asia Pacífico ap- elasticbeanstalk.ap- HTTPS Z2PCDNR3VC2G1N

(Sídney) southeast-2 southeast-2.amazonaws.com
Asia Pacífico ap- elasticbeanstalk.ap- HTTPS Z1R25G3KIG2GBW

(Tokio) northeast-1 northeast-1.amazonaws.com
UE eu-central-1 elasticbeanstalk.eu- HTTPS Z1FRNW7UH4DEZJ

(Fráncfort) central-1.amazonaws.com
UE (Irlanda) eu-west-1 elasticbeanstalk.eu- HTTPS Z2NYPWQ7DFZAZH

west-1.amazonaws.com
EU (London) eu-west-2 elasticbeanstalk.eu- HTTPS Z1GKAAAUGATPF1

América del sa-east-1 elasticbeanstalk.sa- HTTPS Z10X7K2B4QSOFV

Sur (São east-1.amazonaws.com
Paulo)
For information about using AWS Elastic Beanstalk in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
Version 1.0
30
AWS Elastic Beanstalk Health Service
AWS Elastic Beanstalk Health Service

Name
US East us-east-2 elasticbeanstalk-health.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 elasticbeanstalk-health.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 elasticbeanstalk-health.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 elasticbeanstalk-health.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 elasticbeanstalk-health.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 elasticbeanstalk-health.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- elasticbeanstalk-health.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- elasticbeanstalk-health.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- elasticbeanstalk-health.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- elasticbeanstalk-health.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 elasticbeanstalk-health.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 elasticbeanstalk-health.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 elasticbeanstalk-health.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 elasticbeanstalk-health.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
Amazon Elastic Compute Cloud (Amazon EC2)

Name
US East us-east-2 ec2.us-east-2.amazonaws.com HTTP and

(Ohio) HTTPS
Version 1.0
31

Name
US East (N. us-east-1 ec2.us-east-1.amazonaws.com HTTP and

Virginia) HTTPS
EE.UU. us-west-1 ec2.us-west-1.amazonaws.com HTTP and

Oeste HTTPS
(Norte de
California)
EE.UU. us-west-2 ec2.us-west-2.amazonaws.com HTTP and

Oeste HTTPS
(Oregón)
Canada ca-central-1 ec2.ca-central-1.amazonaws.com HTTP and

(Central) HTTPS
Asia Pacific ap-south-1 ec2.ap-south-1.amazonaws.com HTTP and

(Mumbai) HTTPS
Asia Pacífico ap- ec2.ap-northeast-2.amazonaws.com HTTP and

Asia Pacífico ap- ec2.ap-southeast-1.amazonaws.com HTTP and

Asia Pacífico ap- ec2.ap-southeast-2.amazonaws.com HTTP and

Asia Pacífico ap- ec2.ap-northeast-1.amazonaws.com HTTP and

UE eu-central-1 ec2.eu-central-1.amazonaws.com HTTP and

(Fráncfort) HTTPS
UE (Irlanda) eu-west-1 ec2.eu-west-1.amazonaws.com HTTP and

HTTPS
EU (London) eu-west-2 ec2.eu-west-2.amazonaws.com HTTP and

HTTPS
América del sa-east-1 ec2.sa-east-1.amazonaws.com HTTP and

Sur (São HTTPS
Paulo)
For information about using Amazon EC2 in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Amazon EC2 in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
32
Amazon Elastic File System

la región
US East (N. us-east-1 elasticfilesystem.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 elasticfilesystem.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-2 elasticfilesystem.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
UE (Irlanda) eu-west-1 elasticfilesystem.eu-west-1.amazonaws.com HTTPS
Asia Pacífico ap- elasticfilesystem.ap-southeast-2.amazonaws.com HTTPS

Elastic Load Balancing

Route 53
US East (N. us-east-1 elasticloadbalancing.us- HTTPS Z35SXDOTRQ7X7K

US East us-east-2 elasticloadbalancing.us- HTTPS Z3AADJGX6KTTL2

(Ohio) east-2.amazonaws.com
EE.UU. us-west-1 elasticloadbalancing.us- HTTPS Z368ELLRRE2KJ0

(Norte de
California)
EE.UU. us-west-2 elasticloadbalancing.us- HTTPS Z1H1FL5HABSF5

(Oregón)
Canada ca-central-1 elasticloadbalancing.ca- HTTPS ZQSVJUPU6J1EY

(Central) central-1.amazonaws.com
Asia Pacific ap-south-1 elasticloadbalancing.ap- HTTPS ZP97RAFLXTNZK

(Mumbai) south-1.amazonaws.com
Asia Pacífico ap- elasticloadbalancing.ap- HTTPS ZWKZPGTI48KDX

(Seúl) northeast-2 northeast-2.amazonaws.com
Asia Pacífico ap- elasticloadbalancing.ap- HTTPS Z1LMS91P8CMLE5

(Singapur) southeast-1 southeast-1.amazonaws.com
Asia Pacífico ap- elasticloadbalancing.ap- HTTPS Z1GM3OXH4ZPM65

(Sídney) southeast-2 southeast-2.amazonaws.com
Version 1.0
33
Amazon Elastic Transcoder

Route 53
Asia Pacífico ap- elasticloadbalancing.ap- HTTPS Z14GRHDCWA56QT

(Tokio) northeast-1 northeast-1.amazonaws.com
UE eu-central-1 elasticloadbalancing.eu- HTTPS Z215JYRZR1TBD5

(Fráncfort) central-1.amazonaws.com
UE (Irlanda) eu-west-1 elasticloadbalancing.eu- HTTPS Z32O12XQLNTSW2

EU (London) eu-west-2 elasticloadbalancing.eu- HTTPS ZHURV8PSTC4K8

América del sa-east-1 elasticloadbalancing.sa- HTTPS Z2P70J7HTTTPLU

Sur (São east-1.amazonaws.com
Paulo)
Si solo especifica el punto de conexión general (elasticloadbalancing.amazonaws.com), Elastic Load

Balancing dirige su solicitud al punto de conexión de us-east-1.
For information about using Elastic Load Balancing in the AWS GovCloud (US), Region, see AWS
For information about using Elastic Load Balancing in the China (Beijing) Region, see China (Beijing)
Region Endpoints.

la región
US East (N. us-east-1 elastictranscoder.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 elastictranscoder.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 elastictranscoder.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacific ap-south-1 elastictranscoder.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- elastictranscoder.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- elastictranscoder.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- elastictranscoder.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Version 1.0
34
Amazon ElastiCache

la región
UE (Irlanda) eu-west-1 elastictranscoder.eu-west-1.amazonaws.com HTTPS
Amazon ElastiCache
Name
US East us-east-2 elasticache.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 elasticache.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 elasticache.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 elasticache.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 elasticache.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 elasticache.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- elasticache.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- elasticache.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- elasticache.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- elasticache.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 elasticache.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 elasticache.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 elasticache.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 elasticache.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using Amazon ElastiCache in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
Version 1.0
35
Amazon Elasticsearch Service

Nombre de la región Región Punto de conexión Protocolo
US East (N. Virginia) us-east-1 es.us- HTTPS

east-1.amazonaws.com
US East (Ohio) us-east-2 es.us- HTTPS

EE.UU. Oeste (Norte de us-west-1 es.us- HTTPS

California) west-1.amazonaws.com
EE.UU. Oeste (Oregón) us-west-2 es.us- HTTPS

Asia Pacific (Mumbai) ap-south-1 es.ap- HTTPS

south-1.amazonaws.com
Asia Pacífico (Seúl) ap-northeast-2 es.ap- HTTPS

northeast-2.amazonaws.com
Asia Pacífico (Singapur) ap-southeast-1 es.ap- HTTPS

southeast-1.amazonaws.com
Asia Pacífico (Sídney) ap-southeast-2 es.ap- HTTPS

Asia Pacífico (Tokio) ap-northeast-1 es.ap- HTTPS

Canadá (Central) ca-central-1 es.ca- HTTPS

central-1.amazonaws.com
UE (Fráncfort) eu-central-1 es.eu- HTTPS

UE (Irlanda) eu-west-1 es.eu- HTTPS

UE (Londres) eu-west-2 es.eu- HTTPS

América del Sur (São sa-east-1 es.sa- HTTPS

Paulo) east-1.amazonaws.com
Amazon EMR
Name
US East us-east-2 elasticmapreduce.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 elasticmapreduce.us-east-1.amazonaws.com HTTPS

Virginia)
Version 1.0
36
Amazon EMR

Name
EE.UU. us-west-1 elasticmapreduce.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 elasticmapreduce.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 elasticmapreduce.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 elasticmapreduce.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- elasticmapreduce.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- elasticmapreduce.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- elasticmapreduce.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- elasticmapreduce.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 elasticmapreduce.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 elasticmapreduce.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 elasticmapreduce.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 elasticmapreduce.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
Si especifica el punto de enlace general (elasticmapreduce.amazonaws.com), Amazon EMR dirige la

solicitud a un punto de conexión en la región predeterminada. Para las cuentas creadas el 8 de marzo de
2013 o después de esa fecha, la región predeterminada es us-west-2; en el caso de cuentas más antiguas,
la región predeterminada es us-east-1.
For information about using Amazon EMR in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Amazon EMR in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
37
Amazon GameLift
Amazon GameLift
la región
US East (N. us-east-1 gamelift.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 gamelift.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacific ap-south-1 gamelift.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- gamelift.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- gamelift.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- gamelift.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE (Irlanda) eu-west-1 gamelift.eu-west-1.amazonaws.com HTTPS
UE eu-central-1 gamelift.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
América del sa-east-1 gamelift.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
Amazon Glacier
la región
US East (N. us-east-1 glacier.us-east-1.amazonaws.com HTTP y

Virginia) HTTPS
US East us-east-2 glacier.us-east-2.amazonaws.com HTTP y

(Ohio) HTTPS
EE.UU. us-west-1 glacier.us-west-1.amazonaws.com HTTP y

Oeste HTTPS
(Norte de
California)
EE.UU. us-west-2 glacier.us-west-2.amazonaws.com HTTP y

Oeste HTTPS
(Oregón)
Canada ca-central-1 glacier.ca-central-1.amazonaws.com HTTP y

(Central) HTTPS
Version 1.0
38
AWS Health

la región
Asia Pacific ap-south-1 glacier.ap-south-1.amazonaws.com HTTP y

(Mumbai) HTTPS
Asia Pacífico ap- glacier.ap-northeast-2.amazonaws.com HTTP y

Asia Pacífico ap- glacier.ap-southeast-2.amazonaws.com HTTP y

Asia Pacífico ap- glacier.ap-northeast-1.amazonaws.com HTTP y

UE eu-central-1 glacier.eu-central-1.amazonaws.com HTTP y

(Fráncfort) HTTPS
UE (Irlanda) eu-west-1 glacier.eu-west-1.amazonaws.com HTTP y

HTTPS
EU (London) eu-west-2 glacier.eu-west-2.amazonaws.com HTTP y

HTTPS
For information about using Amazon Glacier in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Amazon Glacier in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
AWS Health
AWS Health tiene un único punto de conexión: health.us-east-1.amazonaws.com (HTTPS).
AWS Identity and Access Management (IAM)

IAM tiene un solo punto de conexión: https://iam.amazonaws.com.
For information about using AWS Identity and Access Management in the AWS GovCloud (US), Region,
see AWS GovCloud (US) Endpoints.
For information about using AWS Identity and Access Management in the China (Beijing) Region, see
China (Beijing) Region Endpoints.
AWS Import/Export
Ahora, AWS Snowball es un servicio independiente. Para obtener información acerca de la región de dicho
servicio, consulte AWS Snowball (p. 62).
AWS Import/Export Disk

AWS Import/Export Disk tiene un único punto de conexión para todas las regiones.
Version 1.0
39
Amazon Inspector
Punto de conexión Protocolo
importexport.amazonaws.com HTTPS
Amazon Inspector
la región
US East (N. us-east-1 inspector.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 inspector.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacific ap-south-1 inspector.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- inspector.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- inspector.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- inspector.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE (Irlanda) eu-west-1 inspector.eu-west-1.amazonaws.com HTTPS
AWS IoT
En la siguiente tabla se proporciona una lista de los puntos de conexión específicos de cada región que
AWS IoT admite para trabajar con reglas, certificados y políticas.

región
US East (N. us-east-1 iot.us-east-1.amazonaws.com HTTPS

Virginia)
US East (Ohio) us-east-2 iot.us-east-2.amazonaws.com HTTPS
EE.UU. Oeste us-west-2 iot.us-west-2.amazonaws.com HTTPS

(Oregón)
Asia Pacífico ap-southeast-1 iot.ap-southeast-1.amazonaws.com HTTPS

(Singapur)
Asia Pacífico ap-southeast-2 iot.ap-southeast-2.amazonaws.com HTTPS

(Sídney)
Asia Pacífico ap-northeast-1 iot.ap-northeast-1.amazonaws.com HTTPS

(Tokio)
Version 1.0
40
AWS IoT

región
Asia Pacífico ap-northeast-2 iot.ap-northeast-2.amazonaws.com HTTPS

(Seúl)
UE (Fráncfort) eu-central-1 iot.eu-central-1.amazonaws.com HTTPS
UE (Irlanda) eu-west-1 iot.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 iot.eu-west-2.amazonaws.com HTTPS
En la siguiente tabla se proporciona una lista de los puntos de conexión específicos de cada región que
AWS IoT admite para trabajar con Thing Shadows. Para buscar el prefijo específico de su cuenta, utilice el
comando describe-endpoint.

región
US East (N. us-east-1 prefijo.iot.us-east-1.amazonaws.com HTTPS, MQTT

Virginia)
US East (Ohio) us-east-2 prefijo.iot.us-east-2.amazonaws.com HTTPS, MQTT
EE.UU. Oeste us-west-2 prefijo.iot.us-west-2.amazonaws.com HTTPS, MQTT

(Oregón)
Asia Pacífico ap-southeast-1 prefijo.iot.ap-southeast-1.amazonaws.com HTTPS, MQTT

(Singapur)
Asia Pacífico ap-southeast-2 prefijo.iot.ap-southeast-2.amazonaws.com HTTPS, MQTT

(Sídney)
Asia Pacífico ap-northeast-1 prefijo.iot.ap-northeast-1.amazonaws.com HTTPS, MQTT

(Tokio)
Asia Pacífico ap-northeast-2 prefijo.iot.ap-northeast-2.amazonaws.com HTTPS, MQTT

(Seúl)
UE (Fráncfort) eu-central-1 prefijo.iot.eu-central-1.amazonaws.com HTTPS, MQTT
UE (Irlanda) eu-west-1 prefijo.iot.eu-west-1.amazonaws.com HTTPS, MQTT
EU (London) eu-west-2 prefijo.iot.eu-west-2.amazonaws.com HTTPS, MQTT
AWS IoT admite varios protocolos para acceder al agente de mensajes y al componente Thing Shadows.
En la siguiente tabla se muestran los puertos que se deben utilizar para cada protocolo.
Puerto Protocolo Mecanismo de autenticación
443 HTTPS Signature Version 4
443 MQTT sobre Signature Version 4

WebSocket
8443 HTTPS Autenticación de cliente de TLS, con certificados
8883 MQTT Autenticación de cliente de TLS, con certificados
Version 1.0
41
AWS Key Management Service

Name
US East us-east-2 kms.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 kms.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 kms.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 kms.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 kms.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 kms.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- kms.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- kms.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- kms.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- kms.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 kms.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 kms.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 kms.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 kms.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using AWS Key Management Service in the AWS GovCloud (US), Region, see AWS
Version 1.0
42
Amazon Kinesis Analytics
Amazon Kinesis Analytics

la región
US East (N. us-east-1 kinesisanalytics.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 kinesisanalytics.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
UE (Irlanda) eu-west-1 kinesisanalytics.eu-west-1.amazonaws.com HTTPS
Amazon Kinesis Firehose

la región
US East (N. us-east-1 firehose.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 firehose.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
UE (Irlanda) eu-west-1 firehose.eu-west-1.amazonaws.com HTTPS
Amazon Kinesis Streams

la región
US East (N. us-east-1 kinesis.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 kinesis.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 kinesis.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 kinesis.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 kinesis.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 kinesis.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Version 1.0
43
AWS Lambda

la región
Asia Pacífico ap- kinesis.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- kinesis.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- kinesis.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- kinesis.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 kinesis.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 kinesis.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 kinesis.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 kinesis.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using Amazon Kinesis Streams in the AWS GovCloud (US), Region, see AWS
For information about using Amazon Kinesis Streams in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
AWS Lambda
la región
US East (N. us-east-1 lambda.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 lambda.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 lambda.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 lambda.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- lambda.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacific ap-south-1 lambda.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Version 1.0
44
Amazon Lex

la región
Asia Pacífico ap- lambda.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- lambda.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- lambda.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 lambda.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 lambda.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 lambda.eu-west-2.amazonaws.com HTTPS
Amazon Lex
la región
US East (N. us-east-1 runtime.lex.us-east-1.amazonaws.com HTTPS

Virginia)
Amazon Lightsail
la región
US East (N. us-east-1 lightsail.us-east-1.amazonaws.com HTTPS

Virginia)
Amazon Machine Learning

la región
US East (N. us-east-1 machinelearning.us-east-1.amazonaws.com HTTPS

Virginia)
UE (Irlanda) eu-west-1 machinelearning.eu-west-1.amazonaws.com HTTPS
Amazon Mechanical Turk

Región Punto de conexión Protocolo
Punto de conexión mechanicalturk.sandbox.amazonaws.com HTTPS

del entorno de
Version 1.0
45
Amazon Mobile Analytics
Región Punto de conexión Protocolo

pruebas para
acciones de
Amazon Mechanical
Turk.
Punto de conexión mechanicalturk.amazonaws.com HTTPS

del entorno de
producción para
acciones de
Amazon Mechanical
Turk.
Amazon Mobile Analytics

la región
US East (N. us-east-1 mobileanalytics.us-east-1.amazonaws.com HTTPS

Virginia)
AWS OpsWorks
AWS OpsWorks utiliza los siguientes puntos de conexión regionales.
AWS OpsWorks for Chef Automate

Puede crear y administrar servidores de AWS OpsWorks for Chef Automate en las siguientes regiones.
Los recursos pueden administrarse únicamente en la región en que se han creado. Los recursos que se
crean en un punto de conexión regional no están disponibles en otro punto de conexión regional ni pueden
clonarse en él.

la región
Región US us-east-1 opsworks-cm.us-east-1.amazonaws.com HTTPS

East (N.
Virginia)
US West us-west-2 opsworks-cm.us-west-2.amazonaws.com HTTPS

(Oregon)
Region
EU (Ireland) eu-west-1 opsworks-cm.eu-west-1.amazonaws.com HTTPS

Region
AWS OpsWorks Stacks

Puede crear y administrar recursos de AWS OpsWorks en todas las regiones excepto AWS GovCloud
(US) y China (Beijing) Region. Los recursos pueden administrarse únicamente en la región en que se han
creado. Los recursos que se crean en un punto de conexión regional no están disponibles en otro punto de
conexión regional ni pueden clonarse en él.
Version 1.0
46
AWS OpsWorks Stacks

la región
US East (N. us-east-1 opsworks.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 opsworks.us-east-2.amazonaws.com HTTPS

(Ohio)
US West (N. us-west-1 opsworks.us-west-1.amazonaws.com HTTPS

California)
Region
US West us-west-2 opsworks.us-west-2.amazonaws.com HTTPS

(Oregon)
Region
Asia Pacific ap- opsworks.ap-northeast-1.amazonaws.com HTTPS

(Tokyo) northeast-1
Region
Asia Pacific ap- opsworks.ap-northeast-2.amazonaws.com HTTPS

(Seoul) northeast-2
Region
Asia Pacific ap-south-1 opsworks.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacific ap- opsworks.ap-southeast-1.amazonaws.com HTTPS

(Singapore) southeast-1
Region
Asia Pacific ap- opsworks.ap-southeast-2.amazonaws.com HTTPS

(Sydney) southeast-2
Region
EU eu-central-1 opsworks.eu-central-1.amazonaws.com HTTPS

(Frankfurt)
Region
EU (Ireland) eu-west-1 opsworks.eu-west-1.amazonaws.com HTTPS

Region
EU (London) eu-west-2 opsworks.eu-west-2.amazonaws.com HTTPS

Region
South sa-east-1 opsworks.sa-east-1.amazonaws.com HTTPS

America
(São Paulo)
Region
Version 1.0
47
AWS Organizations
AWS Organizations
la región
US East (N. us-east-1 organizations.us-east-1.amazonaws.com HTTPS

Virginia)
Amazon Pinpoint
la región
US East (N. us-east-1 pinpoint.us-east-1.amazonaws.com HTTPS

Virginia)
Amazon Polly
la región
US East (N. us-east-1 polly.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 polly.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-2 polly.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
UE (Irlanda) eu-west-1 polly.eu-west-1.amazonaws.com HTTPS
Amazon Redshift
la región
US East (N. us-east-1 redshift.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 redshift.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 redshift.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 redshift.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Version 1.0
48
Amazon Rekognition

la región
Canada ca-central-1 redshift.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 redshift.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- redshift.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- redshift.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- redshift.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- redshift.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 redshift.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 redshift.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 redshift.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 redshift.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using Amazon Redshift in the AWS GovCloud (US), Region, see AWS GovCloud
(US) Endpoints.
For information about using Amazon Redshift in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Amazon Rekognition
la región
US East (N. us-east-1 rekognition.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 rekognition.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
UE (Irlanda) eu-west-1 rekognition.eu-west-1.amazonaws.com HTTPS
Version 1.0
49
Amazon Relational Database Service (Amazon RDS)
Amazon Relational Database Service (Amazon

RDS)
Name
US East us-east-2 rds.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 rds.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 rds.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 rds.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 rds.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 rds.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- rds.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- rds.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- rds.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- rds.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 rds.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 rds.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 rds.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 rds.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using Amazon Relational Database Service in the AWS GovCloud (US), Region, see
AWS GovCloud (US) Endpoints.
For information about using Amazon Relational Database Service in the China (Beijing) Region, see China
Version 1.0
50
Amazon Route 53
Amazon Route 53
Amazon Route 53 utiliza dos puntos de conexión. El punto de conexión que se utiliza depende de la
operación que se desea realizar.
Las solicitudes de zonas alojadas, conjuntos de registros de recursos, comprobaciones de estado y

etiquetas de asignación de costos utilizan el punto de conexión siguiente.

región
US East (N. us-east-1 route53.amazonaws.com HTTPS

Virginia)
Las solicitudes de registro de dominios utilizan el siguiente punto de conexión.

región
US East (N. us-east-1 route53domains.us-east-1.amazonaws.com HTTPS

Virginia)
AWS Security Token Service (AWS STS)

El punto de conexión predeterminado para AWS Security Token Service https://sts.amazonaws.com, que
distribuye todas las solicitudes globales. También puede realizar llamadas a otros puntos de conexión
regionales que estén activados para su cuenta de AWS. Todas las regiones están activadas de forma
predeterminada, pero puede desactivar aquellas que no tenga previsto utilizar. Si desactiva una región,
deberá volver a activarla para su cuenta en la Consola de administración de AWS para poder utilizar el
punto de conexión de esa región.
Para obtener más información, consulte Activating and Deactivating AWS STS in an AWS Region en la
Guía del usuario de IAM.

la región
--Global-- --Global-- sts.amazonaws.com HTTPS
US East (N. us-east-1 sts.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 sts.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 sts.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 sts.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Version 1.0
51
AWS Service Catalog

la región
Canada ca-central-1 sts.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 sts.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- sts.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- sts.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- sts.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- sts.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 sts.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 sts.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 sts.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 sts.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using AWS Security Token Service in the AWS GovCloud (US), Region, see AWS
For information about using AWS Security Token Service in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
AWS Service Catalog

la región
US East (N. us-east-1 servicecatalog.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 servicecatalog.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-2 servicecatalog.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 servicecatalog.ca-central-1.amazonaws.com HTTPS

(Central)
Version 1.0
52
AWS Shield Advanced

la región
Asia Pacífico ap- servicecatalog.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- servicecatalog.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- servicecatalog.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 servicecatalog.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 servicecatalog.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 servicecatalog.eu-west-2.amazonaws.com HTTPS
AWS Shield Advanced

AWS Shield Advanced tiene un solo punto de conexión: shield.us-east-1.amazonaws.com. Solamente
admite solicitudes HTTPS.
Amazon Simple Email Service (Amazon SES)

Nombre de la Región Punto de conexión Punto de conexión Envío o recepción
región de API (HTTPS) SMTP de correo
electrónico
US East (N. us-east-1 email.us- email-smtp.us- Envío de correo

electrónico
EE.UU. Oeste us-west-2 email.us- email-smtp.us- Envío de correo

(Oregón) west-2.amazonaws.com
electrónico
UE (Irlanda) eu-west-1 email.eu- email-smtp.eu- Envío de correo

electrónico
US East (N. us-east-1 N/A inbound-smtp.us- Recepción de

correo electrónico
EE.UU. Oeste us-west-2 N/A inbound-smtp.us- Recepción de

(Oregón) west-2.amazonaws.com
correo electrónico
UE (Irlanda) eu-west-1 N/A inbound-smtp.eu- Recepción de

correo electrónico
Version 1.0
53
Amazon Simple Notification Service (Amazon SNS)

Name
US East us-east-2 sns.us-east-2.amazonaws.com HTTP and

(Ohio) HTTPS
US East (N. us-east-1 sns.us-east-1.amazonaws.com HTTP and

Virginia) HTTPS
EE.UU. us-west-1 sns.us-west-1.amazonaws.com HTTP and

Oeste HTTPS
(Norte de
California)
EE.UU. us-west-2 sns.us-west-2.amazonaws.com HTTP and

Oeste HTTPS
(Oregón)
Canada ca-central-1 sns.ca-central-1.amazonaws.com HTTP and

(Central) HTTPS
Asia Pacific ap-south-1 sns.ap-south-1.amazonaws.com HTTP and

(Mumbai) HTTPS
Asia Pacífico ap- sns.ap-northeast-2.amazonaws.com HTTP and

Asia Pacífico ap- sns.ap-southeast-1.amazonaws.com HTTP and

Asia Pacífico ap- sns.ap-southeast-2.amazonaws.com HTTP and

Asia Pacífico ap- sns.ap-northeast-1.amazonaws.com HTTP and

UE eu-central-1 sns.eu-central-1.amazonaws.com HTTP and

(Fráncfort) HTTPS
UE (Irlanda) eu-west-1 sns.eu-west-1.amazonaws.com HTTP and

HTTPS
EU (London) eu-west-2 sns.eu-west-2.amazonaws.com HTTP and

HTTPS
América del sa-east-1 sns.sa-east-1.amazonaws.com HTTP and

Sur (São HTTPS
Paulo)
For information about using Amazon Simple Notification Service in the AWS GovCloud (US), Region, see
For information about using Amazon Simple Notification Service in the China (Beijing) Region, see China
Version 1.0
54
Amazon Simple Queue Service (Amazon SQS)

Name
US East us-east-2 sqs.us-east-2.amazonaws.com HTTP and

(Ohio) HTTPS
US East (N. us-east-1 sqs.us-east-1.amazonaws.com HTTP and

Virginia) HTTPS
EE.UU. us-west-1 sqs.us-west-1.amazonaws.com HTTP and

Oeste HTTPS
(Norte de
California)
EE.UU. us-west-2 sqs.us-west-2.amazonaws.com HTTP and

Oeste HTTPS
(Oregón)
Canada ca-central-1 sqs.ca-central-1.amazonaws.com HTTP and

(Central) HTTPS
Asia Pacific ap-south-1 sqs.ap-south-1.amazonaws.com HTTP and

(Mumbai) HTTPS
Asia Pacífico ap- sqs.ap-northeast-2.amazonaws.com HTTP and

Asia Pacífico ap- sqs.ap-southeast-1.amazonaws.com HTTP and

Asia Pacífico ap- sqs.ap-southeast-2.amazonaws.com HTTP and

Asia Pacífico ap- sqs.ap-northeast-1.amazonaws.com HTTP and

UE eu-central-1 sqs.eu-central-1.amazonaws.com HTTP and

(Fráncfort) HTTPS
UE (Irlanda) eu-west-1 sqs.eu-west-1.amazonaws.com HTTP and

HTTPS
EU (London) eu-west-2 sqs.eu-west-2.amazonaws.com HTTP and

HTTPS
América del sa-east-1 sqs.sa-east-1.amazonaws.com HTTP and

Sur (São HTTPS
Paulo)
For information about using Amazon Simple Queue Service in the AWS GovCloud (US), Region, see AWS
For information about using Amazon Simple Queue Service in the China (Beijing) Region, see China
Version 1.0
55
Puntos de conexión heredados de Amazon SQS
Puntos de conexión heredados de Amazon SQS

Si utiliza AWS CLI o SDK for Python, puede utilizar los siguientes puntos de conexión heredados.
US East (N. Virginia) us-east-1 cola.amazonaws.com HTTP y HTTPS
US East (Ohio) us-east-2 us- HTTP y HTTPS

east-2.queue.amazonaws.com
EE.UU. Oeste (Norte de us-west-1 us- HTTP y HTTPS

California) west-1.queue.amazonaws.com
EE.UU. Oeste (Oregón) us-west-2 us- HTTP y HTTPS

west-2.queue.amazonaws.com
Canada (Central) ca-central-1 ca- HTTP y HTTPS

central-1.queue.amazonaws.com
Asia Pacific (Mumbai) ap-south-1 ap- HTTP y HTTPS

south-1.queue.amazonaws.com
Asia Pacífico (Seúl) ap-northeast-2 ap- HTTP y HTTPS

northeast-2.queue.amazonaws.com
Asia Pacífico (Singapur) ap-southeast-1 ap- HTTP y HTTPS

southeast-1.queue.amazonaws.com
Asia Pacífico (Sídney) ap-southeast-2 ap- HTTP y HTTPS

southeast-2.queue.amazonaws.com
Asia Pacífico (Tokio) ap-northeast-1 ap- HTTP y HTTPS

northeast-1.queue.amazonaws.com
UE (Fráncfort) eu-central-1 eu- HTTP y HTTPS

central-1.queue.amazonaws.com
UE (Irlanda) eu-west-1 eu- HTTP y HTTPS

EU (London) eu-west-2 eu- HTTP y HTTPS

América del Sur (São sa-east-1 sa- HTTP y HTTPS

Paulo) east-1.queue.amazonaws.com
Amazon Simple Storage Service (Amazon S3)

Al enviar solicitudes a estos puntos de conexión mediante la API REST, puede utilizar los métodos de tipo
ruta y alojamiento virtual. Para obtener más información, consulte Virtual Hosting de Buckets.
Note
Amazon S3 ha cambiado el nombre de la región EE. UU. Estándar por Región EE.UU. Este (Norte
de Virginia), con el fin de ser coherente con las convenciones de nomenclatura regionales de
AWS. No hay ningún cambio en el punto de conexión ni es preciso realizar ninguna modificación
en la aplicación.
Version 1.0
56
Nombre de Región Punto de conexión Restricción Protocolo Versión(es)

la región de de
ubicación Signature
Version
Soporte
US East (N. us-east-1 Nombres de punto de conexión (no se HTTP y Signature

Virginia) válidos para esta región: requiere HTTPS Version 2 y
ninguno) Signature
• s3.amazonaws.com Version 4
• s3-external-1.amazonaws.com
• s3.dualstack.us-
east-1.amazonaws.com**
US East us-east-2 Nombres de punto de conexión us-east-2 HTTP y Solo

(Ohio) válidos para esta región: HTTPS Signature
Version 4
• s3.us-east-2.amazonaws.com
• s3-us-east-2.amazonaws.com
EE.UU. us-west-1 Nombres de punto de conexión us-west-1 HTTP y Signature

Oeste válidos para esta región: HTTPS Version 2 y
(Norte de Signature
California) • s3-us-west-1.amazonaws.com Version 4
west-1.amazonaws.com**
EE.UU. us-west-2 Nombres de punto de conexión us-west-2 HTTP y Signature

Oeste válidos para esta región: HTTPS Version 2 y
(Oregón) Signature
• s3-us-west-2.amazonaws.com Version 4
Canada ca-central-1 Nombres de punto de conexión ca-central-1 HTTP y Solo

(Central) válidos para esta región: HTTPS Signature
Version 4
• s3.ca-
• s3-ca-
• s3.dualstack.ca-
central-1.amazonaws.com**
Asia Pacific ap-south-1 Nombres de punto de conexión ap-south-1 HTTP y Solo

(Mumbai) válidos para esta región: HTTPS Signature
Version 4
• s3.ap-south-1.amazonaws.com
• s3-ap-south-1.amazonaws.com
• s3.dualstack.ap-
south-1.amazonaws.com**
Version 1.0
57

la región de de
Version
Soporte
Asia ap- Nombres de punto de conexión ap- HTTP y Solo

Pacífico northeast-2 válidos para esta región: northeast-2 HTTPS Signature
(Seúl) Version 4
• s3.ap-
• s3-ap-
northeast-2.amazonaws.com**
Asia ap- Nombres de punto de conexión ap- HTTP y Signature

Pacífico southeast-1 válidos para esta región southeast-1 HTTPS Version 2 y
(Singapur) Signature
• s3-ap- Version 4
southeast-1.amazonaws.com**

Pacífico southeast-2 válidos para esta región: southeast-2 HTTPS Version 2 y
(Sídney) Signature
southeast-2.amazonaws.com**

Pacífico northeast-1 válidos para esta región: northeast-1 HTTPS Version 2 y
(Tokio) Signature
northeast-1.amazonaws.com**
UE eu-central-1 Nombres de punto de conexión eu-central-1 HTTP y Solo

(Fráncfort) válidos para esta región: HTTPS Signature
Version 4
• s3.eu-
• s3-eu-
• s3.dualstack.eu-
central-1.amazonaws.com**
UE (Irlanda) eu-west-1 Nombres de punto de conexión UE o eu- HTTP y Signature

válidos para esta región: west-1 HTTPS Version 2 y
Signature
• s3-eu-west-1.amazonaws.com Version 4
Version 1.0
58
Puntos de conexión de sitios web
de Amazon Simple Storage Service

la región de de
Version
Soporte
EU eu-west-2 Nombres de punto de conexión eu-west-2 HTTP y Solo

(London) válidos para esta región: HTTPS Signature
Version 4
• s3.eu-west-2.amazonaws.com
• s3-eu-west-2.amazonaws.com
América del sa-east-1 Nombres de punto de conexión sa-east-1 HTTP y Signature

Sur (São válidos para esta región: HTTPS Version 2 y
Paulo) Signature
• s3-sa-east-1.amazonaws.com Version 4
• s3.dualstack.sa-
east-1.amazonaws.com**
Note
**Los puntos de conexión de doble pila de Amazon S3 admiten solicitudes a buckets de S3 a
través de IPv6 y de IPv4. Para obtener más información, consulte Using Dual-Stack Endpoints.
Important
Si utiliza una región que no sea el punto de conexión US East (N. Virginia) para crear un bucket,
debe establecer el parámetro del bucket LocationConstraint en esa misma región. Tanto
AWS SDK for Java como AWS SDK para .NET utilizan una enumeración para establecer
las restricciones de ubicación (Region para Java, S3Region para .NET). Para obtener más
información, consulte la sección PUT Bucket en la Amazon Simple Storage Service API
Reference.
Puntos de conexión de sitios web de Amazon Simple

Storage Service
Cuando se configura un bucket como un sitio web, el sitio web se encuentra disponible mediante los
siguientes puntos de conexión de sitio web específicos de la región. Tenga en cuenta que los puntos
de conexión de sitio web son distintos de los puntos de conexión de API REST enumerados en la tabla
anterior. Para obtener más información acerca del alojamiento de sitios web en Amazon S3, consulte
Hosting Websites on Amazon S3 en la Guía para desarrolladores de Amazon Simple Storage Service. Se
requieren los ID de zona alojada cuando se usa la API Amazon Route 53 para añadir un registro de alias a
la zona alojada.
Note
Los puntos de conexión de sitio web no admiten https.
Nombre de la Punto de conexión de sitio web ID de zona alojada

región de Amazon Route 53
US East (N. s3-website-us-east-1.amazonaws.com Z3AQBSTGFYJSTF

Virginia)
Version 1.0
59
Amazon Simple Workflow Service (Amazon SWF)
Nombre de la Punto de conexión de sitio web ID de zona alojada

región de Amazon Route 53
US East (Ohio) s3-website.us-east-2.amazonaws.com Z2O1EMRO9K5GLX
EE.UU. Oeste s3-website-us-west-1.amazonaws.com Z2F56UZL2M1ACD

(Norte de
California)
EE.UU. Oeste s3-website-us-west-2.amazonaws.com Z3BJ6K6RIION7M

(Oregón)
Canada (Central) s3-website.ca-central-1.amazonaws.com Z1QDHH18159H29
Asia Pacific s3-website.ap-south-1.amazonaws.com Z11RGJOFQNVJUP

(Mumbai)
Asia Pacífico s3-website.ap-northeast-2.amazonaws.com Z3W03O7B5YMIYP

(Seúl)
Asia Pacífico s3-website-ap-southeast-1.amazonaws.com Z3O0J2DXBE1FTB

(Singapur)
Asia Pacífico s3-website-ap-southeast-2.amazonaws.com Z1WCIGYICN2BYD

(Sídney)
Asia Pacífico s3-website-ap-northeast-1.amazonaws.com Z2M4EHUR26P7ZW

(Tokio)
UE (Fráncfort) s3-website.eu-central-1.amazonaws.com Z21DNDUVLTQW6Q
UE (Irlanda) s3-website-eu-west-1.amazonaws.com Z1BKCTXD74EZPE
EU (London) s3-website.eu-west-2.amazonaws.com Z3GKZC51ZF0DB4
América del Sur s3-website-sa-east-1.amazonaws.com Z7KQH4QJS55SO

(São Paulo)
For information about using Amazon Simple Storage Service in the AWS GovCloud (US), Region, see AWS
For information about using Amazon Simple Storage Service in the China (Beijing) Region, see China

Name
US East us-east-2 swf.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 swf.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 swf.us-west-1.amazonaws.com HTTPS

Oeste
Version 1.0
60
Amazon SimpleDB

Name
(Norte de
California)
EE.UU. us-west-2 swf.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 swf.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 swf.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- swf.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- swf.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- swf.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- swf.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 swf.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 swf.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 swf.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 swf.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using Amazon Simple Workflow Service in the AWS GovCloud (US), Region, see
For information about using Amazon Simple Workflow Service in the China (Beijing) Region, see China
Amazon SimpleDB
la región
US East (N. us-east-1 sdb.amazonaws.com HTTP y

Virginia) HTTPS
EE.UU. us-west-1 sdb.us-west-1.amazonaws.com HTTP y

Oeste HTTPS
(Norte de
California)
Version 1.0
61
AWS Snowball

la región
EE.UU. us-west-2 sdb.us-west-2.amazonaws.com HTTP y

Oeste HTTPS
(Oregón)
Asia Pacífico ap- sdb.ap-southeast-1.amazonaws.com HTTP y

Asia Pacífico ap- sdb.ap-southeast-2.amazonaws.com HTTP y

Asia Pacífico ap- sdb.ap-northeast-1.amazonaws.com HTTP y

UE (Irlanda) eu-west-1 sdb.eu-west-1.amazonaws.com HTTP y

HTTPS
América del sa-east-1 sdb.sa-east-1.amazonaws.com HTTP y

Sur (São HTTPS
Paulo)
AWS Snowball
AWS Snowball, que se utiliza con Snowball appliance estándar, está disponible en las siguientes regiones
e incluye estos puntos de conexión.
US East (N. Virginia) us-east-1 snowball.us- HTTPS

US East (Ohio) us-east-2 snowball.us- HTTPS

EE.UU. Oeste (Norte de us-west-1 snowball.us- HTTPS

EE.UU. Oeste (Oregón) us-east-2 snowball.us- HTTPS

Asia Pacific (Mumbai) ap-south-1 snowball.ap- HTTPS

south-1.amazonaws.com
Asia Pacífico (Sídney) ap-southeast-2 snowball.ap- HTTPS

UE (Fráncfort) eu-central-1 snowball.eu- HTTPS

UE (Irlanda) eu-west-1 snowball.eu- HTTPS

AWS Snowball, que se utiliza con AWS Snowball Edge appliance, está disponible en las siguientes
regiones e incluye estos puntos de conexión.
Version 1.0
62
AWS Step Functions
US East (N. Virginia) us-east-1 snowball.us- HTTPS

US East (Ohio) us-east-2 snowball.us- HTTPS

EE.UU. Oeste (Norte de us-west-1 snowball.us- HTTPS

EE.UU. Oeste (Oregón) us-east-2 snowball.us- HTTPS

Asia Pacífico (Sídney) ap-southeast-2 snowball.ap- HTTPS

UE (Fráncfort) eu-central-1 snowball.eu- HTTPS

UE (Irlanda) eu-west-1 snowball.eu- HTTPS

EU (London) eu-west-2 snowball.eu- HTTPS

For information about using AWS Snowball in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
AWS Step Functions

la región
US East (N. us-east-1 states.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 states.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-2 states.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- states.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 states.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 states.eu-west-1.amazonaws.com HTTPS
Version 1.0
63
AWS Storage Gateway
AWS Storage Gateway

la región
US East (N. us-east-1 storagegateway.us-east-1.amazonaws.com HTTPS

Virginia)
US East us-east-2 storagegateway.us-east-2.amazonaws.com HTTPS

(Ohio)
EE.UU. us-west-1 storagegateway.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 storagegateway.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 storagegateway.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacífico ap- storagegateway.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- storagegateway.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- storagegateway.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- storagegateway.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 storagegateway.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 storagegateway.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 storagegateway.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 storagegateway.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
For information about using AWS Storage Gateway in the China (Beijing) Region, see China (Beijing)
Region Endpoints.
AWS Support
AWS Support tiene un único punto de conexión: support.us-east-1.amazonaws.com (HTTPS).
Version 1.0
64
Amazon VPC
Amazon VPC
Name
US East us-east-2 ec2.us-east-2.amazonaws.com HTTPS

(Ohio)
US East (N. us-east-1 ec2.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-1 ec2.us-west-1.amazonaws.com HTTPS

Oeste
(Norte de
California)
EE.UU. us-west-2 ec2.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Canada ca-central-1 ec2.ca-central-1.amazonaws.com HTTPS

(Central)
Asia Pacific ap-south-1 ec2.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap- ec2.ap-northeast-2.amazonaws.com HTTPS

(Seúl) northeast-2
Asia Pacífico ap- ec2.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- ec2.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- ec2.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE eu-central-1 ec2.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 ec2.eu-west-1.amazonaws.com HTTPS
EU (London) eu-west-2 ec2.eu-west-2.amazonaws.com HTTPS
América del sa-east-1 ec2.sa-east-1.amazonaws.com HTTPS

Sur (São
Paulo)
Si especifica el punto de conexión general (ec2.amazonaws.com), Amazon VPC dirige la solicitud al punto
de conexión us-east-1.
For information about using Amazon VPC in the AWS GovCloud (US), Region, see AWS GovCloud (US)
Endpoints.
For information about using Amazon VPC in the China (Beijing) Region, see China (Beijing) Region
Endpoints.
Version 1.0
65
AWS WAF
AWS WAF
AWS WAF para distribuciones de CloudFront tiene un único punto de conexión: waf.amazonaws.com.
Solamente admite solicitudes HTTPS.
AWS WAF para Balanceador de carga de aplicaciones tiene los siguientes puntos de conexión:

la región
US East (N. us-east-1 waf-regional.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 waf-regional.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
UE (Irlanda) eu-west-1 waf-regional.eu-west-1.amazonaws.com HTTPS
Asia Pacífico ap- waf-regional.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Amazon WorkDocs
la región
US East (N. us-east-1 workdocs.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 workdocs.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- workdocs.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- workdocs.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- workdocs.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
UE (Irlanda) eu-west-1 workdocs.eu-west-1.amazonaws.com HTTPS
Amazon WorkMail
Nombre de la región Región Servicio Punto de conexión
US East (N. Virginia) us-east-1 Detección automática autodiscover-service.mail.us-

east-1.awsapps.com
US East (N. Virginia) us-east-1 Servicios Web ews.mail.us-east-1.awsapps.com

Exchange
Version 1.0
66
Amazon WorkSpaces
Nombre de la región Región Servicio Punto de conexión
US East (N. Virginia) us-east-1 Exchange Active mobile.mail.us-east-1.awsapps.com

Sync
US East (N. Virginia) us-east-1 MAPI Proxy outlook.mail.us-east-1.awsapps.com
US East (N. Virginia) us-east-1 IMAPS imap.mail.us-east-1.awsapps.com
EE.UU. Oeste us-west-2 Detección automática autodiscover-service.mail.us-

(Oregón) west-2.awsapps.com
EE.UU. Oeste us-west-2 Servicios Web ews.mail.us-west-2.awsapps.com

(Oregón) Exchange
EE.UU. Oeste us-west-2 Exchange Active mobile.mail.us-west-2.awsapps.com

(Oregón) Sync
EE.UU. Oeste us-west-2 MAPI Proxy outlook.mail.us-west-2.awsapps.com

(Oregón)
EE.UU. Oeste us-west-2 IMAPS imap.mail.us-west-2.awsapps.com

(Oregón)
UE (Irlanda) eu-west-1 Detección automática autodiscover-service.mail.eu-

west-1.awsapps.com
UE (Irlanda) eu-west-1 Servicios Web ews.mail.eu-west-1.awsapps.com

Exchange
UE (Irlanda) eu-west-1 Exchange Active mobile.mail.eu-west-1.awsapps.com

Sync
UE (Irlanda) eu-west-1 MAPI Proxy outlook.mail.eu-west-1.awsapps.com
UE (Irlanda) eu-west-1 IMAPS imap.mail.eu-west-1.awsapps.com
Amazon WorkSpaces
la región
US East (N. us-east-1 workspaces.us-east-1.amazonaws.com HTTPS

Virginia)
EE.UU. us-west-2 workspaces.us-west-2.amazonaws.com HTTPS

Oeste
(Oregón)
Asia Pacífico ap- workspaces.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- workspaces.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- workspaces.ap-northeast-1.amazonaws.com HTTPS

(Tokio) northeast-1
Version 1.0
67
AWS X-Ray

la región
UE eu-central-1 workspaces.eu-central-1.amazonaws.com HTTPS

(Fráncfort)
UE (Irlanda) eu-west-1 workspaces.eu-west-1.amazonaws.com HTTPS
AWS X-Ray
región
US East (N. us-east-1 xray.us-east-1.amazonaws.com HTTPS

Virginia)
US East (Ohio) us-east-2 xray.us-east-2.amazonaws.com HTTPS
EE.UU. Oeste us-west-1 xray.us-west-1.amazonaws.com HTTPS

(Norte de
California)
EE.UU. Oeste us-west-2 xray.us-west-2.amazonaws.com HTTPS

(Oregón)
Asia Pacific ap-south-1 xray.ap-south-1.amazonaws.com HTTPS

(Mumbai)
Asia Pacífico ap-northeast-2 xray.ap-northeast-2.amazonaws.com HTTPS

(Seúl)
Asia Pacífico ap-southeast-1 xray.ap-southeast-1.amazonaws.com HTTPS

(Singapur)
Asia Pacífico ap-southeast-2 xray.ap-southeast-2.amazonaws.com HTTPS

(Sídney)
Asia Pacífico ap-northeast-1 xray.ap-northeast-1.amazonaws.com HTTPS

(Tokio)
UE (Fráncfort) eu-central-1 xray.eu-central-1.amazonaws.com HTTPS
UE (Irlanda) eu-west-1 xray.eu-west-1.amazonaws.com HTTPS
América del Sur sa-east-1 xray.sa-east-1.amazonaws.com HTTPS

(São Paulo)
Version 1.0
68
Credenciales de cuenta raíz y
credenciales de usuario de IAM
Credenciales de seguridad de AWS
Al interaccionar con AWS, debe especificar las credenciales de seguridad de AWS con el fin de demostrar
quién es usted y si tiene permiso para acceder a los recursos que solicita. AWS utiliza las credenciales de
seguridad para autenticar y autorizar sus solicitudes.
Por ejemplo, si desea descargar un archivo determinado de un bucket de Amazon Simple Storage
Service (Amazon S3), sus credenciales deben permitir ese tipo de acceso. Si sus credenciales no están
autorizadas para descargar el archivo, AWS le denegará la solicitud.
Note
En algunos casos, puede realizar llamadas a AWS sin credenciales de seguridad; por ejemplo,
descargar un archivo compartido públicamente en un bucket de Amazon S3.
Temas
• Credenciales de cuenta raíz y credenciales de usuario de IAM (p. 69)
• Descripción y obtención de las credenciales de seguridad (p. 71)
• Identificadores de cuenta de AWS (p. 73)
• Prácticas recomendadas para administrar las claves de acceso de AWS (p. 74)
• Administración de claves de acceso para su cuenta de AWS (p. 77)
• Directivas de auditoría de seguridad de AWS (p. 78)
Credenciales de cuenta raíz y credenciales de

usuario de IAM
Todas las cuentas de AWS tienen credenciales de cuenta raíz (es decir, las credenciales del propietario
de la cuenta). Estas credenciales permiten acceso pleno a todos los recursos de la cuenta. Dado que
no puede restringir los permisos de las credenciales de la cuenta raíz, le recomendamos que elimine
las claves de acceso raíz y, a continuación, cree credenciales de usuario de AWS Identity and Access
Management (IAM) para las interacciones cotidianas con AWS. Para obtener más información, consulte
Lock away your AWS account (root) access keys en la Guía del usuario de IAM.
Version 1.0
69
Tareas de AWS que requieren un usuario raíz de la cuenta
Note
Es posible que necesite el acceso de la cuenta raíz para tareas específicas, tales como cambiar
un plan de soporte de AWS o cerrar la cuenta. En estos casos, inicie sesión en la Consola de
administración de AWS con su correo electrónico y contraseña. Consulte Correo electrónico y
contraseña (usuario raíz de la cuenta) (p. 71).
Para obtener una lista de tareas que requieren el acceso de usuario raíz de la cuenta, consulte Tareas de
AWS que requieren un usuario raíz de la cuenta (p. 70).
Con IAM, puede controlar de forma segura el acceso a los servicios y recursos de AWS para los usuarios
de su cuenta de AWS. Por ejemplo, si requiere permisos de administrador, puede crear un usuario IAM,
concederle acceso pleno y, a continuación, utilizar esas credenciales para interaccionar con AWS. Si
necesita modificar o revocar sus permisos, puede eliminar o modificar las políticas que están asociadas
con ese usuario de IAM.
Si tiene varios usuarios que requieren acceso a su cuenta de AWS, puede crear credenciales exclusivas
para cada uno de ellos y definir quién tendrá acceso a los distintos recursos. No tiene que compartir las
credenciales. Por ejemplo, puede crear usuarios de IAM con acceso de solo lectura a los recursos de su
cuenta de AWS y distribuir esas credenciales a los usuarios.
Note
Todas las actividades y los costos asociados con el usuario de IAM se facturarán al propietario de
la cuenta de AWS.
Tareas de AWS que requieren un usuario raíz de la

cuenta
Las tareas que se enumeran a continuación requieren que inicie sesión como usuario raíz de la cuenta. En
general, recomendamos que se utilice un usuario de IAM estándar con los permisos adecuados para llevar
a cabo todas las tareas administrativas o de usuario normales. Sin embargo, las tareas que se enumeran a
continuación únicamente se pueden realizar cuando se inicia sesión como usuario raíz de una cuenta.
• Modificar los detalles del usuario raíz (p. 71). Esto incluye el cambio de la contraseña del usuario raíz.
• Cambiar el plan de soporte de AWS.
• Cambiar o eliminar opciones de pago.
• Consultar la información de facturación de la cuenta. Para obtener información sobre cómo habilitar
el acceso a la facturación para los usuarios de IAM, consulte Activating Access to the Billing and Cost
Management Console.
• Cerrar una cuenta de AWS.
• Inscribirse en GovCloud.
• Enviar una solicitud de DNS inversa para Amazon EC2. El enlace “this form” de esa página para enviar
una solicitud solamente funciona si inicia sesión con credenciales de usuario raíz.
• Crear un par de claves de CloudFront.
• Crear un certificado de firma X.509 creado por AWS. (También puede realizar certificados creados
automáticamente para los usuarios de IAM.)
• Transferir un dominio de Amazon Route 53 a otra cuenta de AWS.
• Cambiar la configuración de Amazon EC2 para utilizar ID de recursos más largos. Si este ajuste se
cambia como usuario raíz, afecta a todos los usuarios y roles de la cuenta. Si se cambia como usuario
de IAM o rol de IAM, solo afecta a ese usuario o rol.
• Enviar una solicitud para realizar pruebas de intrusión en la infraestructura de AWS.
• Abrir un caso de AWS Support en el que se especifique Regarding: Account and Billing Support.
Version 1.0
70
Descripción y obtención de las credenciales de seguridad
• Solicitar la eliminación de la limitación de correo electrónico del puerto 25 en la instancia EC2.
Descripción y obtención de las credenciales de

seguridad
Se utilizan diferentes tipos de credenciales de seguridad, en función de cómo se interaccione con AWS.
Por ejemplo, puede utilizar un nombre de usuario y una contraseña para iniciar sesión en la Consola de
administración de AWS. Las claves de acceso se usan para realizar llamadas mediante programación a las
acciones de API de AWS.
Si olvida o pierde sus credenciales, no puede recuperarlas. Por motivos de seguridad, AWS no permite
recuperar las contraseñas ni las claves de acceso secretas y tampoco almacena las claves privadas que
forman parte de un par de claves. Sin embargo, puede crear nuevas credenciales y, después, deshabilitar
o eliminar las anteriores.
Note
Las credenciales de seguridad son específicas de la cuenta. Si tiene acceso a varias cuentas de
AWS, utilice las credenciales que están asociadas con la cuenta a la que desea acceder.
Obtener credenciales de cuenta raíz de AWS es distinto obtener credenciales de usuario de IAM. Para las
credenciales de la cuenta raíz de AWS, las credenciales, como claves de acceso o los pares de claves, se
obtienen en la página Security Credentials de la Consola de administración de AWS. Las credenciales de
usuario de IAM se obtienen en la consola de IAM.
En la siguiente lista se describen los tipos de credenciales de seguridad de AWS, cuándo se pueden
utilizar y cómo obtener cada tipo de credenciales de AWS para la cuenta raíz o para un usuario de IAM.
Temas
• Correo electrónico y contraseña (usuario raíz de la cuenta) (p. 71)
• Nombre de usuario y contraseña de IAM (p. 72)
• Multi-Factor Authentication (MFA) (p. 72)
• Claves de acceso (ID de clave de acceso y clave de acceso secreta) (p. 72)
• Pares de claves (p. 73)
Correo electrónico y contraseña (usuario raíz de la

cuenta)
Cuando se inscribe en AWS, proporciona una dirección de correo electrónico y la contraseña asociada
a su cuenta de AWS. Puede utilizar estas credenciales para iniciar sesión en las páginas web de AWS,
como la Consola de administración de AWS, en los foros de debate de AWS o en el centro de soporte de
AWS. La dirección de correo electrónico y la contraseña de la cuenta raíz son credenciales de nivel raíz.
Por ello, cualquier persona que utiliza estas credenciales tiene pleno acceso a todos los recursos de la
cuenta. Le recomendamos que utilice un nombre de usuario y contraseña de IAM para iniciar sesión en las
páginas web de AWS. Para obtener más información, consulte Credenciales de cuenta raíz y credenciales
de usuario de IAM (p. 69).
La dirección de correo electrónico y la contraseña se especifican al crear la cuenta de AWS. Puede

cambiar la dirección de correo electrónico y la contraseña en la página Security Credentials. También
puede elegir Forgot your password? en la página de inicio de sesión de AWS para restablecer la
contraseña.
Version 1.0
71
Nombre de usuario y contraseña de IAM
Nombre de usuario y contraseña de IAM

Cuando varias personas o aplicaciones requieren acceso a una cuenta de AWS, AWS Identity and Access
Management (IAM) permite crear identidades de usuario de IAM únicas. Los usuarios pueden utilizar sus
propios nombres de usuario y contraseñas para iniciar sesión en la Consola de administración de AWS,
los foros de debate de AWS o el centro de soporte de AWS. En algunos casos, se requiere un nombre
de usuario y contraseña de IAM para utilizar un servicio, como el envío de correo electrónico con SMTP
mediante Amazon Simple Email Service (Amazon SES).
Para obtener más información acerca de los usuarios de IAM, consulte Identities (Users, Groups, and
Roles) en la Guía del usuario de IAM.
Los nombres de usuario se especifican al crearlos. Una vez creados los usuarios, puede crear contraseñas
para cada uno de ellos. Para obtener más información, consulte Managing Passwords para IAM Users en
la Guía del usuario de IAM.
Note
Los usuarios de IAM pueden administrar su propia contraseña, pero solo si se les ha dado
permiso. Para obtener más información, consulte Permitting IAM Users to Change Their Own
Password en la Guía del usuario de IAM.
Multi-Factor Authentication (MFA)

AWS Multi-Factor Authentication (AWS MFA) proporciona un nivel de seguridad adicional que puede
aplicar a su cuenta de AWS. Si AWS MFA está habilitada, al iniciar sesión en un sitio web de AWS se le
pedirán su nombre de usuario y contraseña y, además, un código de autenticación de un dispositivo MFA.
Juntos, ofrecen una mayor seguridad para los recursos y la configuración de una cuenta de AWS.
De forma predeterminada, MFA (Multi-Factor Authentication) no está habilitada. Puede habilitar y

administrar dispositivos MFA para la cuenta raíz de AWS en la página Security Credentials o en el panel
IAM de la Consola de administración de AWS. Para obtener más información sobre cómo habilitar MFA
para los usuarios de IAM, consulte Enabling MFA Devices en la Guía del usuario de IAM.
Note
Para aumentar la seguridad, le recomendamos que exija la MFA en las credenciales de la cuenta
raíz y a los usuarios de IAM con un alto nivel de privilegios. Para obtener más información,
consulte Using Multi-Factor Authentication (MFA) in AWS en la Guía del usuario de IAM.
Claves de acceso (ID de clave de acceso y clave de

acceso secreta)
Las claves de acceso se componen de un ID de clave de acceso (por ejemplo, AKIAIOSFODNN7EXAMPLE) y
una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Las claves de
acceso se usan para firmar mediante programación las solicitudes que se realizan a AWS si se utilizan los
AWS SDK, REST o API de consulta. Los AWS SDK utilizan las claves de acceso para firmar las solicitudes
automáticamente, de modo que el cliente no tenga que controlar el proceso de firma. También puede
firmar las solicitudes manualmente. Para obtener más información, consulte Firma de solicitudes de la API
de AWS (p. 106).
Las claves de acceso se utilizan también con las interfaces de línea de comandos (CLI). Cuando se utiliza
una CLI, los comandos que se emiten se firman mediante las claves de acceso, que puede pasar con el
propio comando o bien almacenar como ajustes de configuración en el equipo.
También puede crear y utilizar claves de acceso temporales, que se denominan credenciales de seguridad
temporales. Además del ID de clave de acceso y la clave de acceso secreta, las credenciales de seguridad
Version 1.0
72
Pares de claves
temporales incluyen un token de seguridad que debe enviar a AWS cuando se utiliza este tipo de
credenciales. La ventaja de las credenciales de seguridad temporales es que duran poco. Después de
caducar, ya no son válidas. Puede utilizar claves de acceso temporales en entornos menos seguros o
distribuirlas para conceder a los usuarios acceso temporal a los recursos de su cuenta de AWS. Por
ejemplo, puede conceder a entidades de otras cuentas de AWS acceso a los recursos de su cuenta
de AWS (acceso entre cuentas) o conceder a usuarios que no tengan credenciales de seguridad de
AWS acceso a los recursos de su cuenta de AWS (federación). Para obtener más información, consulte
Temporary Security Credentials en la guía Guía del usuario de IAM.
Puede tener un máximo de dos claves de acceso (activas o inactivas) a la vez. Para su cuenta de AWS
(raíz), consulte Administración de claves de acceso para su cuenta de AWS (p. 77). Para los usuarios
de IAM, puede crear claves de acceso de IAM con la consola de IAM. Para obtener más información,
consulte Creating, Modifying, and Viewing Access Keys (Consola de administración de AWS) en la Guía
del usuario de IAM.
Important
Si usted o los usuarios de IAM olvidan o pierden la clave de acceso secreta, puede crear una
nueva clave de acceso.
Pares de claves
Un par de claves consta de una clave pública y una clave privada. Puede utilizar la clave privada para
crear una firma digital y, a continuación, AWS utilizará la correspondiente clave pública para validar la
firma. Los pares de claves se utilizan solo para Amazon EC2 y Amazon CloudFront.
En el caso de Amazon EC2, los pares de claves se utilizan para acceder a instancias Amazon EC2;
por ejemplo, cuando se utiliza SSH para iniciar sesión en una instancia de Linux. Para obtener más
información, consulte Connect to Your Linux Instances en la Guía del usuario de Amazon EC2 para
instancias de Linux.
En el caso de Amazon CloudFront, los pares de clave se utilizan para crear URL firmadas para contenido
privado; por ejemplo, cuando desea distribuir contenido restringido por el que alguien ha pagado.
Para obtener más información, consulte Serving Private Content through CloudFront en la Guía para
desarrolladores de Amazon CloudFront.
AWS no proporciona los pares de claves para su cuenta, sino que usted debe crearlos. Puede crear pares
de claves de Amazon EC2 en la consola de Amazon EC2, la CLI o la API. Para obtener más información,
consulte Amazon EC2 Key Pairs en la Guía del usuario de Amazon EC2 para instancias de Linux.
Puede crear pares de claves de Amazon CloudFront en la página Security Credentials. Solo la cuenta
raíz (no los usuarios de IAM) puede crear pares de claves de CloudFront. Para obtener más información,
consulte Serving Private Content through CloudFront en la Guía para desarrolladores de Amazon
CloudFront.
Identificadores de cuenta de AWS

AWS asigna dos ID únicos a cada cuenta de AWS:
• Un ID de Cuenta de AWS
• Un ID de usuario canónico
El ID de cuenta de AWS es un número de 12 dígitos, como 123456789012, que se utiliza para crear los
nombres de recursos de Amazon (ARN). Cuando se hace referencia a recursos, como un usuario de IAM
Version 1.0
73
Cómo encontrar los identificadores de su cuenta
o un almacén de Amazon Glacier, el ID de cuenta distingue sus recursos de aquellos de otras cuentas de
AWS.
El ID de usuario canónico es una cadena larga; por ejemplo,

79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be.
Puede utilizar ID de usuario canónico en una política de bucket de Amazon S3 para el acceso entre
cuentas; esto significa que una cuenta de AWS puede acceder a los recursos de otra cuenta de AWS.
Por ejemplo, para conceder a otra cuenta de AWS acceso a su bucket, debe especificar el ID de usuario
canónico en la política del bucket. Para obtener más información, consulte Bucket Policy Examples en la
Guía para desarrolladores de Amazon Simple Storage Service.
Cómo encontrar los identificadores de su cuenta

Para los usuarios de cuentas de AWS (usuarios de cuenta raíz), puede obtener ambos ID en la sección
Account Identifiers de la página Security Credentials. Ninguno de los ID se puede cambiar.
Para los usuarios de IAM o federados, puede obtener el ID de cuenta de AWS en el panel del Centro de
soporte. También puede elegir Support y, a continuación, Support Center. El ID se muestra en la parte
superior derecha. El ID de cuenta de una cuenta de AWS es el mismo para la cuenta raíz y para los
usuarios de IAM de esta. Para obtener más información, consulte Your AWS Account ID and Its Alias.
Note
También puede devolver el ID de usuario canónico con la API ListBuckets de Amazon S3.
Para obtener más información, consulte GET Service Response Elements en la Amazon Simple
Storage Service API Reference.
Prácticas recomendadas para administrar las

claves de acceso de AWS
Cuando accede a AWS mediante programación, se utiliza una clave de acceso para demostrar su
identidad y la de sus aplicaciones. Una clave de acceso se compone de un ID de clave de acceso (por
ejemplo, AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/
bPxRfiCYEXAMPLEKEY).
Cualquier persona que tenga su clave de acceso disfrutará del mismo nivel de acceso a los recursos de
AWS que usted. Por lo tanto, AWS adopta diversas medidas para proteger las claves de acceso y, en
consonancia con nuestro modelo de responsabilidad compartida, también usted debe adoptarlas.
Los pasos siguientes pueden ayudarle a proteger las claves de acceso. Para obtener información general
sobre el tema, consulte Credenciales de seguridad de AWS (p. 69).
Note
Puede que su organización tenga políticas y requisitos de seguridad distintos de los descritos en
este tema. Las sugerencias proporcionadas aquí pretenden ser unas directrices generales.
Temas
• Eliminación (o abstención de generación) de una clave de acceso de cuenta raíz (p. 75)
• Utilice credenciales de seguridad temporales (roles de IAM) e lugar de claves de acceso a largo
plazo (p. 75)
• Administración correcta de las claves de acceso de los usuarios de IAM (p. 76)
Version 1.0
74
Eliminación (o abstención de generación)
de una clave de acceso de cuenta raíz
• Más recursos (p. 77)
Eliminación (o abstención de generación) de una clave

de acceso de cuenta raíz
Se requiere una clave de acceso para firmar las solicitudes realizadas mediante las herramientas de línea
de comandos de AWS, los AWS SDK o las llamadas de API directas. Cualquier persona que tenga la clave
de acceso de su cuenta raíz dispondrá de acceso ilimitado a todos los recursos de su cuenta, incluida la
información de facturación. Los permisos de la cuenta raíz no se pueden restringir.
Una de las mejores formas de proteger su cuenta es no tener una clave de acceso para la cuenta raíz.
A menos que necesite tener una clave de acceso raíz (lo que es bastante infrecuente), es mejor no
generarla. En su lugar, la práctica recomendada consiste en crear uno o más usuarios de AWS Identity and
Access Management (IAM), proporcionarles los permisos necesarios y utilizar a los usuarios de IAM para
las interacciones cotidianas con AWS.
Si ya tiene una clave de acceso para su cuenta, le recomendamos que encuentre los lugares de las
aplicaciones donde la utiliza dicha clave (si procede), sustituya la clave de acceso raíz por una clave de
acceso de usuario de IAM y, a continuación, deshabilite y elimine la clave de acceso raíz. Para obtener
más información acerca de cómo sustituir una clave de acceso por otra, consulte la publicación How to
Rotate Access Keys for IAM Users en AWS Security Blog.
De forma predeterminada, AWS no genera una clave de acceso para las cuentas nuevas.
Para obtener información sobre cómo crear un usuario de IAM con permisos administrativos, consulte
Creating Your First IAM Admin User y Group en la Guía del usuario de IAM.
Utilice credenciales de seguridad temporales (roles de

IAM) e lugar de claves de acceso a largo plazo
En muchos casos, no se requiere una clave de acceso a largo plazo que nunca caduca (como sucede
con los usuarios de IAM). En su lugar, puede crear roles de IAM y generar credenciales de seguridad
temporales. Las credenciales de seguridad temporales se componen de un ID de clave de acceso y una
clave de acceso secreta, pero, además, incluyen un token de seguridad que indica cuándo caducan las
credenciales.
Las claves de acceso a largo plazo, como las asociados a los usuarios de IAM y a las cuentas (raíz)
de AWS, siguen siendo válidas hasta que se revocan manualmente. Sin embargo, las credenciales de
seguridad temporales obtenidas a través de roles de IAM y otras funciones de AWS Security Token
Service, caducan tras un breve periodo de tiempo. Utilice las credenciales de seguridad temporales para
ayudar a reducir el riesgo en caso de se vean expuestas accidentalmente.
Utilice un rol de IAM y credenciales de seguridad temporales en estas situaciones:
• Tiene una aplicación o scripts de AWS CLI que se ejecuta en una instancia Amazon EC2. No pase una
clave de acceso a la aplicación ni la integre en la aplicación, ni tampoco haga que la aplicación lea una
clave de un origen como un bucket de Amazon S3 (aunque el bucket esté cifrado). En cambio, defina un
rol de IAM que tenga los permisos adecuados para su aplicación y lance la instancia Amazon EC2 con
roles para EC2. De este modo se asocia un rol de IAM con la instancia Amazon EC2 y se permite que la
aplicación obtenga credenciales de seguridad temporales que, a su vez, la aplicación puede utilizar para
realizar llamadas de AWS. Los AWS SDK; y la AWS CLI pueden obtener credenciales temporales del rol
automáticamente.
• Debe conceder acceso entre cuentas. Utilice un rol de IAM para establecer la confianza entre las
cuentas y, a continuación, conceda a los usuarios de una cuenta permisos limitados para acceder a la
Version 1.0
75
Administración correcta de las claves
de acceso de los usuarios de IAM
cuenta de confianza. Para obtener más información, consulte Tutorial: Delegate Access Across AWS
Accounts Using IAM Roles en la Guía del usuario de IAM.
• Tiene una aplicación móvil. No integre una clave de acceso en la aplicación, ni siquiera en el
almacenamiento cifrado. En su lugar, utilice Amazon Cognito para administrar la identidad de los
usuarios en su aplicación. Este servicio permite autenticar a los usuarios mediante Login with Amazon,
Facebook, Google o cualquier proveedor de identidad compatible con OpenID Connect (OIDC). A
continuación, puede utilizar el proveedor de credenciales de Amazon Cognito para administrar las
credenciales que la aplicación utiliza para realizar solicitudes a AWS. Para obtener más información,
consulte Using the Amazon Cognito Credentials Provider en AWS Mobile Blog.
• Desea utilizar la federación en AWS y su organización admite SAML 2.0. Si trabaja en una organización
cuyo proveedor de identidad admite SAML 2.0, configure el proveedor de modo que use SAML para
intercambiar la información de autenticación con AWS y devuelva un conjunto de credenciales de
seguridad temporales. Para obtener más información, consulte About SAML 2.0-based Federation en la
Guía del usuario de IAM.
• Desea utilizar la federación en AWS y su organización tiene un almacén de identidades local. Si los
usuarios pueden autenticarse dentro de su organización, puede escribir una aplicación que emita
credenciales de seguridad temporales para acceder a los recursos de AWS. Para obtener más
información, consulte Creating a URL that Enables Federated Users to Access the AWS Management
Console (Custom Federation Broker) en la Guía del usuario de IAM.
Administración correcta de las claves de acceso de los

usuarios de IAM
Si necesita crear claves de acceso para el acceso mediante programación a AWS, cree un usuario de IAM
y concédale exclusivamente aquellos permisos que necesite. A continuación, genere una clave de acceso
para ese usuario. Para obtener más información, consulte Managing Access Keys for IAM Users en la Guía
del usuario de IAM.
Note
Recuerde que si ejecuta una aplicación en una instancia Amazon EC2 y la aplicación necesita
acceder a los recursos de AWS, debe utilizar roles de IAM para EC2, tal y como se describe en la
sección anterior.
Tenga en cuenta estas precauciones cuando utilice claves de acceso:
• No integre las claves de acceso directamente en el código. Los AWS SDK y las herramientas de línea
de comandos de AWS le permiten colocar las claves de acceso en ubicaciones conocidas para que no
tenga que mantenerlas en el código.
Ponga las claves de acceso en una de las siguientes ubicaciones:

• El archivo de credenciales de AWS. Los AWS SDK y la AWS CLI utilizan automáticamente las
credenciales que se guardan en el archivo de credenciales de AWS.
Para obtener información acerca de cómo utilizar el archivo de credenciales de AWS, consulte
la documentación del SDK. Encontrará ejemplos en Set up AWS Credentials and Region for
Development en la AWS SDK for Java Developer Guide y Configuration and Credential Files en la
AWS Command Line Interface Guía del usuario.
Note
Para almacenar las credenciales de AWS SDK para .NET y Herramientas de AWS para
Windows PowerShell, recomendamos utilizar el almacén de SDK. Para obtener más
información, consulte Using the SDK Store en la AWS SDK para .NET Developer Guide.
• Variables de entorno. En un sistema multicliente, opte por las variables de entorno de usuario, en lugar
de las variables de entorno del sistema.
Version 1.0
76
Más recursos
Para obtener más información acerca de cómo utilizar las variables de entorno para almacenar
credenciales, consulte Environment Variables en la AWS Command Line Interface Guía del usuario.
• Utilice claves de acceso distintas para las diferentes aplicaciones. Esto le permitirá aislar los permisos
y revocar las claves de acceso para aplicaciones individuales si una clave de acceso se ve expuesta.
Disponer de una claves de acceso independiente para cada aplicación, además, genera entradas
diferenciadas en los archivos de registro de AWS CloudTrail; de esta forma, le resultará más fácil
determinar qué aplicación ha realizado una acción determinada.
• Rote las claves de acceso de forma periódica. Cambie las claves de acceso con regularidad. Para
obtener más información, consulte Rotating Access Keys (AWS CLI, Herramientas para Windows
PowerShell, and AWS API) en la Guía del usuario de IAM y How to Rotate Access Keys for IAM Users
en AWS Security Blog.
• Elimine las claves de acceso no utilizadas. Si un usuario se marcha de la organización, elimine el
usuario de IAM correspondiente, de tal forma que ya no pueda obtener acceso a los recursos. Para
saber cuándo se utilizó por última vez una clave de acceso, utilice la API GetAccessKeyLastUsed
(comando de AWS CLI: aws iam get-access-key-last-used).
• Configure la autenticación multifactor para las operaciones más confidenciales. Para obtener más
información, consulte Using Multi-Factor Authentication (MFA) in AWS en la Guía del usuario de IAM.
Más recursos
Para obtener más información sobre las prácticas recomendadas para mantener protegida su cuenta de
AWS, consulte los siguientes recursos:
• Prácticas recomendadas de IAM. En este tema se presenta una lista de sugerencias para utilizar el
servicio de AWS Identity and Access Management (IAM) con el fin de ayudar a proteger sus recursos de
AWS.
• En las siguientes páginas se proporciona información sobre cómo configurar los AWS SDK y la AWS CLI
para utilizar claves de acceso.
• Set up AWS Credentials and Region for Development en la AWS SDK for Java Developer Guide.
• Using the SDK Store en la AWS SDK para .NET Developer Guide.
• Providing Credentials to the SDK en la AWS SDK para PHP Developer Guide.
• Configuration en la documentación de Boto 3 (AWS SDK para Python).
• Using AWS Credentials en la guía de Herramientas de AWS para Windows PowerShell.
• Configuration and Credential Files en la AWS Command Line Interface Guía del usuario.
• Granting Access Using an IAM Role. En este tutorial se explica cómo los programas escritos utilizando
el .NET SDK pueden obtener automáticamente las credenciales de seguridad temporales cuando se
ejecutan en una instancia Amazon EC2. Hay un tema parecido dedicado a AWS SDK para Java.
Administración de claves de acceso para su cuenta

de AWS
Puede crear, rotar, deshabilitar o eliminar las claves de acceso (los ID de clave de acceso y las claves
de acceso secretas) para su cuenta de AWS (usuario raíz). Cualquier persona que tenga una clave de
acceso para su cuenta de AWS dispondrá de acceso ilimitado a todos los recursos de su cuenta, incluida
la información de facturación.
Recomendamos no crear claves de acceso para su cuenta de AWS y eliminar las existentes. En lugar de
ello, cree un usuario en AWS Identity and Access Management (IAM) y elija Programmatic access para
crear una clave de acceso para el usuario. Para obtener más información, consulte Lock away your AWS
account (root) access keys en la Guía del usuario de IAM.
Version 1.0
77
Creación, deshabilitación y eliminación de
claves de acceso para su cuenta de AWS
Cuando se crea una clave de acceso, AWS permite ver y descargar la clave de acceso secreta una única
vez. Si no la descarga o la pierde, puede eliminar la clave de acceso y, a continuación, crear una nueva.
Una clave de acceso recién creada tiene el estado activo; esto significa que se puede utilizar para efectuar
llamadas a la API. Puede tener un máximo de dos claves de acceso para su cuenta de AWS, lo que resulta
útil si desea rotar las claves de acceso (p. 76). Cuando se deshabilita una clave de acceso, no se puede
utilizar para las llamadas a la API.
Puede crear o eliminar una clave de acceso en cualquier momento. Sin embargo, cuando se elimina una
clave de acceso, desaparece para siempre y ya no se puede recuperar.
Creación, deshabilitación y eliminación de claves de

acceso para su cuenta de AWS
Siga estos pasos para administrar las claves de acceso para su cuenta de AWS. Para obtener más
información sobre la administración de claves de acceso para los usuarios de IAM, consulte Managing
Access Keys for IAM Users en la Guía del usuario de IAM.
Para crear, deshabilitar o eliminar una clave de acceso para su cuenta de AWS (raíz)
1. Utilice la dirección de correo electrónico y contraseña de su cuenta de AWS para iniciar sesión en la
Consola de administración de AWS.
Si antes ha iniciado sesión en la consola con las credenciales de usuario de IAM, el navegador podría
abrir su página de inicio de sesión de usuario de IAM. No puede utilizar la página de inicio de sesión
de usuario de IAM para iniciar sesión con las credenciales de su cuenta de AWS. En su lugar, elija
Sign-in using root account credentials para ir a la página de inicio de sesión de la cuenta de AWS.
2. En la parte superior derecha de la consola, elija su nombre o número de cuenta. A continuación, elija
My Security Credentials.
3. Elija Continue to Security Credentials.
4. Amplíe la sección Access Keys (Access Key ID and Secret Access Key).
5. Elija la acción que desee realizar.
Para crear una clave de acceso
Elija Create New Access Key. A continuación, elija Download Key File para guardar el ID de clave
de acceso y la clave de acceso secreta en un archivo de su equipo. Después de cerrar el cuadro
de diálogo, no podrá volver a recuperar esta clave de acceso secreta.
Para deshabilitar una clave de acceso
Elija Make Inactive junto a la clave de acceso que desee deshabilitar. Para volver a habilitar una
clave de acceso inactiva, elija Make Active.
Para eliminar una clave de acceso
Antes de eliminar una clave de acceso, asegúrese de que ya no está en uso. Para obtener más
información, consulte Finding unused access keys en la Guía del usuario de IAM. No se puede
recuperar una clave de acceso después de haberla eliminado. A continuación, elija Delete junto a
la clave de acceso que desea eliminar.
Directivas de auditoría de seguridad de AWS

Periódicamente, debe auditar su configuración de seguridad para asegurarse de que satisface sus
necesidades de negocio actuales. Una auditoría le ofrece la oportunidad de eliminar los usuarios, los
Version 1.0
78
¿Cuándo se debe llevar a cabo una auditoría de seguridad?
grupos, los roles y las políticas de IAM innecesarios y de asegurarse de que los usuarios y el software
tengan únicamente los permisos que necesiten.
A continuación encontrará las directrices para revisar y monitorizar sistemáticamente los recursos de AWS
en aplicación de las prácticas recomendadas de seguridad.
Temas
• ¿Cuándo se debe llevar a cabo una auditoría de seguridad? (p. 79)
• Directrices generales de auditoría (p. 79)
• Revisión de las credenciales de su cuenta de AWS (p. 80)
• Revisión de los usuarios de IAM (p. 80)
• Revisión de los grupos de IAM (p. 80)
• Revisión de los roles de IAM (p. 80)
• Revisión de los proveedores de IAM para SAML y OpenID Connect (OIDC) (p. 81)
• Revisión de las aplicaciones móviles (p. 81)
• Revisión de la configuración de seguridad de Amazon EC2 (p. 81)
• Revisión de las políticas de AWS en otros servicios (p. 82)
• Monitorización de la actividad de su cuenta de AWS (p. 82)
• Sugerencias para revisar las políticas de IAM (p. 82)
• Más información (p. 83)
¿Cuándo se debe llevar a cabo una auditoría de

seguridad?
Debe auditar su configuración de seguridad en las siguientes situaciones:
• En forma periódica. Debe realizar los pasos que se describen en este documento a intervalos regulares,
como práctica recomendada de seguridad.
• Si se producen cambios en su organización; por ejemplo, si se marchan personas.
• Si ha dejado de utilizar uno o varios servicios de AWS individuales. Esto es importante para eliminar los
permisos que los usuarios de su cuenta ya no necesitan.
• Si ha añadido o eliminado software de las cuentas, como aplicaciones en instancias Amazon EC2, pilas
de AWS OpsWorks, plantillas de AWS CloudFormation, etc.
• Si sospecha que una persona no autorizada podría haber accedido a su cuenta.
Directrices generales de auditoría

Al revisar la configuración de seguridad de su cuenta, siga estas directrices:
• Sea exhaustivo. Fíjese en todos los aspectos de su configuración de seguridad, incluidos aquellos que
no utilice habitualmente.
• No haga suposiciones. Si no conoce bien algún aspecto de la configuración de seguridad (por ejemplo,
los motivos para una determinada política o la existencia de un rol), investigue la necesidad de negocio
hasta quedar convencido.
• Simplifique. Para facilitar la auditoría (y la administración), utilice grupos de IAM, esquemas de
nomenclatura coherentes y políticas sencillas.
Version 1.0
79
Revisión de las credenciales de su cuenta de AWS
Revisión de las credenciales de su cuenta de AWS

Siga estos pasos al auditar las credenciales de su cuenta de AWS:
1. Si no utiliza las claves de acceso raíz de la cuenta, elimínelas. Recomendamos encarecidamente no

utilizar las claves de acceso raíz para el trabajo cotidiano con AWS y, en lugar de ello, crear usuarios de
IAM.
2. Si necesita mantener las claves de acceso para su cuenta, rótelas con regularidad.
Revisión de los usuarios de IAM

Siga estos pasos al auditar los usuarios de IAM:
1. Eliminar los usuarios que no estén activos.

2. Quite los usuarios de los grupos a los que no necesiten pertenecer.
3. Revise las políticas adjuntas a los grupos a los que pertenece el usuario. Consulte Sugerencias para
revisar las políticas de IAM (p. 82).
4. Elimine las credenciales de seguridad que el usuario no necesite o que se hayan visto expuestas. Por
ejemplo, un usuario de IAM que se utiliza para una aplicación no necesita una contraseña (que solo es
necesaria para iniciar sesión en los sitios web de AWS). Del mismo modo, si un usuario ya no utiliza las
claves de acceso, no hay motivo para que las tenga. Para obtener más información, consulte Managing
Passwords for IAM Users y Managing Access Keys for IAM Users en la Guía del usuario de IAM.
Puede generar y descargar un informe de credenciales que contenga una lista de todos los usuarios
de IAM de su cuenta y el estado de sus credenciales, tales como contraseñas, claves de acceso y
dispositivos MFA. Para las contraseñas y claves de acceso, el informe de credenciales muestra cuándo
se ha utilizado la contraseña o una clave de acceso por última vez. Las credenciales que no se han
utilizado hace poco probablemente deban eliminarse. Para obtener más información, consulte Getting
Credential Reports for your AWS Account en la Guía del usuario de IAM.
5. Rote (cambie) las credenciales de seguridad de los usuarios de forma periódica o inmediatamente si
se han compartido con una persona no autorizada. Para obtener más información, consulte Managing
Passwords for IAM Users y Managing Access Keys for IAM Users en la Guía del usuario de IAM.
Revisión de los grupos de IAM

Siga estos pasos al auditar los grupos de IAM:
1. Elimine los grupos que no se utilicen.

2. Revise los usuarios de cada grupo y elimine los usuarios que no deban figurar en ellos. Consulte el
apartado Revisión de los usuarios de IAM (p. 80) anterior.
3. Revise las políticas adjuntas al grupo. Consulte Sugerencias para revisar las políticas de IAM (p. 82).
Revisión de los roles de IAM

Siga estos pasos al auditar los roles de IAM:
1. Elimine los roles que ya no se utilicen.

2. Revise la política de confianza del rol. Asegúrese de saber quién es la entidad principal y de entender
por qué esa cuenta o ese usuario necesitan poder asumir el rol.
3. Revise la política de acceso del rol para asegurarse de que conceda permisos adecuados a quien
asuma ese rol; consulte Sugerencias para revisar las políticas de IAM (p. 82).
Version 1.0
80
Revisión de los proveedores de IAM
para SAML y OpenID Connect (OIDC)
Revisión de los proveedores de IAM para SAML y

OpenID Connect (OIDC)
Si ha creado una entidad IAM para establecer la confianza con un proveedor de identidades SAML u
OIDC, siga estos pasos:
1. Elimine los proveedores que no se utilicen.

2. Descargue y revise los documentos de metadatos de AWS de cada proveedor SAML y asegúrese
de que reflejen las necesidades de negocio actuales. Si lo prefiere, obtenga los últimos documentos
de metadatos de los proveedores de identidades SAML con los que desee establecer la confianza y
actualice el proveedor en IAM.
Revisión de las aplicaciones móviles

Si ha creado una aplicación móvil que realiza solicitudes a AWS, siga estos pasos:
1. Asegúrese de que la aplicación móvil no contenga claves de acceso integradas, ni siquiera aunque
estén en el almacenamiento cifrado.
2. Obtenga credenciales temporales para la aplicación mediante el uso de API diseñadas para ello.
Recomendamos utilizar Amazon Cognito para administrar la identidad de los usuarios en su aplicación.
Este servicio permite autenticar a los usuarios mediante Login with Amazon, Facebook, Google o
cualquier proveedor de identidad compatible con OpenID Connect (OIDC). A continuación, puede utilizar
el proveedor de credenciales de Amazon Cognito para administrar las credenciales que la aplicación
utiliza para realizar solicitudes a AWS.
Si su aplicación móvil no admite la autenticación mediante Login with Amazon, Facebook, Google
o cualquier otro proveedor de identidades compatible con OIDC, puede crear un servidor proxy que
dispense credenciales temporales a su aplicación.
Revisión de la configuración de seguridad de Amazon

EC2
Siga estos pasos para cada región de AWS:
1. Elimine los pares de claves de Amazon EC2 que no se utilicen o personas ajenas a su organización
puedan conocer.
2. Revise los grupos de seguridad de Amazon EC2:
• Quite los grupos de seguridad que ya no se ajusten a sus necesidades.
• Elimine las reglas de los grupos de seguridad que ya no se ajusten a sus necesidades. Asegúrese
de saber por qué se han permitido los puertos, los protocolos y los rangos de direcciones IP que
permiten.
3. Finalice las instancias que no respondan a una necesidad de negocio o que alguien ajeno a su
organización pueda haber iniciado con fines no autorizados. Recuerde que, si se inicia una instancia
con un rol, las aplicaciones que se ejecutan en dicha instancia podrán acceder a los recursos de AWS
mediante los permisos que conceda ese rol.
4. Cancele las solicitudes de instancias de subasta que no respondan a una necesidad de negocio o que
alguien ajeno a su organización haya podido realizar.
5. Revise los grupos y las configuraciones de Auto Scaling. Apague todos aquellos que ya no se ajusten a
sus necesidades o que alguien ajeno a su organización pueda haber configurado.
Version 1.0
81
Revisión de las políticas de AWS en otros servicios
Revisión de las políticas de AWS en otros servicios

Revise los permisos para los servicios que utilizan políticas basadas en recursos o que admiten otros
mecanismos de seguridad. En cada caso, asegúrese de que solo los usuarios y los roles que lo necesiten
por motivos de negocio actuales tengan acceso a los recursos del servicio; además, compruebe que los
permisos concedidos para los recursos sean los mínimos necesarios para satisfacer las necesidades de
negocio.
• Revise las políticas de buckets y ACL de Amazon S3.

• Revise las políticas de colas de Amazon SQS.
• Revise las políticas de temas de Amazon SNS.
• Revise los permisos de AWS OpsWorks.
• Revise las políticas de claves de AWS KMS.
Monitorización de la actividad de su cuenta de AWS

Siga estas directrices para monitorizar la actividad de AWS:
• Active AWS CloudTrail en cada cuenta y utilícelo en cada región admitida.

• Examine periódicamente los archivos de registro de CloudTrail. CloudTrail tiene una serie de socios que
proporcionan herramientas para leer y analizar los archivos de registro.
• Active el registro de buckets de Amazon S3 para monitorizar las solicitudes realizadas a cada bucket.
• Si cree que se ha producido un uso no autorizado de su cuenta, preste especial atención a las
credenciales temporales que se han emitido. Si se han emitido credenciales temporales que no
reconoce, desactive sus permisos.
• Habilite alertas de facturación en cada cuenta y establezca un umbral de costo que le informe cuando los
cargos superen el uso normal.
Sugerencias para revisar las políticas de IAM

Las políticas son potentes y sutiles, por lo que es importante estudiar y comprender los permisos que
concede cada una de ellas. Utilice las siguientes directrices al revisar las políticas:
• Como práctica recomendada, adjunte las políticas a grupos, en lugar de a usuarios individuales. Si un
usuario individual tiene una política, asegúrese de comprender por qué ese usuario la necesita.
• Asegúrese de que los usuarios, los grupos y los roles de IAM cuenten exclusivamente con aquellos
permisos que necesiten.
• Utilice el IAM Policy Simulator para comprobar las políticas que se han adjuntado a los usuarios o
grupos.
• Recuerde que los permisos de usuario son el resultado de todas las políticas aplicables (de usuario, de
grupo y basadas en recursos y para buckets de Amazon S3, colas de Amazon SQS, temas de Amazon
SNS y claves de AWS KMS). Es importante examinar todas las políticas aplicables a un usuario y
comprender el conjunto completo de permisos concedidos a un usuario individual.
• Tenga en cuenta que permitir que un usuario de IAM cree un usuario, grupo, rol o política y adjunte
una política a la entidad principal equivale, en la práctica, a conceder a ese usuario todos los permisos
sobre todos los recursos de su cuenta. Es decir, los usuarios a quienes se permite crear políticas y
adjuntárselas a usuarios, grupos o roles se pueden conceder a sí mismos cualquier permiso. En general,
no conceda permisos de IAM a los usuarios o los roles en quienes no confía lo suficiente para que
dispongan de pleno acceso a los recursos de su cuenta. La siguiente lista contiene los permisos de IAM
que debe estudiar atentamente:
• iam:PutGroupPolicy
Version 1.0
82
Más información
• iam:PutRolePolicy
• iam:PutUserPolicy
• iam:CreatePolicy
• iam:CreatePolicyVersion
• iam:AttachGroupPolicy
• iam:AttachRolePolicy
• iam:AttachUserPolicy
• Asegúrese de que las políticas no concedan permisos para servicios que no se utilizan. Por ejemplo, si
utiliza políticas administradas de AWS, asegúrese de que las políticas administradas de AWS que están
en uso en su cuenta sean para servicios que utilice realmente. Para saber qué políticas administradas
de AWS se utilizan en su cuenta, utilice la API GetAccountAuthorizationDetails de IAM (comando de
AWS CLI: aws iam get-account-authorization-details).
• Si la política concede a un usuario permiso para lanzar una instancia Amazon EC2, también podría
permitir la acción iam:PassRole, pero en este caso debería enumerar de forma explícita los roles que el
usuario está autorizado a pasar a la instancia Amazon EC2.
• Examine minuciosamente todos los valores del elemento Action o Resource que incluyan *. La
práctica recomendada consiste en conceder acceso Allow solamente para las acciones y los recursos
individuales que los usuarios necesitan. Sin embargo, a continuación se citan algunas razones por las
que podría ser conveniente utilizar * en una política:
• La política está diseñada para conceder privilegios de nivel administrativo.
• El comodín se utiliza por comodidad para un conjunto de acciones similares (por ejemplo, Describe*)
y usted está convencido de la idoneidad de la lista completa de acciones a las que se hace referencia
de este modo.
• El comodín se utiliza para indicar una clase de recursos o una ruta de recursos (p. ej.,
arn:aws:iam::account-id:users/division_abc/*) y usted está convencido de la idoneidad de
conceder acceso a todos los recursos de esa clase o ruta.
• Una acción de servicio no admite permisos de nivel de recursos y la única opción para un recurso es
*.
• Examine los nombres de las políticas para asegurarse de que reflejen la función que cumple cada una
de ellas. Por ejemplo, el nombre de una política podría incluir el texto “solo lectura” pero, en realidad,
conceder permisos de escritura o cambio.
Más información
Para obtener más información sobre la administración de recursos de IAM, consulte los siguientes temas:
• IAM Users and Groups en la Guía del usuario de IAM.

• Permissions and Policies en la Guía del usuario de IAM.
• IAM Roles (Delegation and Federation) en la Guía del usuario de IAM.
• IAM Policy Simulator en la guía Using IAM Policy Simulator.
Para obtener más información sobre la seguridad en Amazon EC2, consulte los siguientes temas:
• Network and Security en la Guía del usuario de Amazon EC2 para instancias de Linux.
• Demystifying EC2 Resource-Level Permissions en AWS Security Blog.
Para obtener más información sobre la monitorización de cuentas de AWS, consulte la presentación
de re:Invent 2013 “Intrusion Detection in the Cloud” (vídeo; PDF de la presentación en diapositivas).
También puede descargar ejemplo de programa en Python que muestra cómo automatizar las funciones
de auditoría de seguridad.
Version 1.0
83
Formato de ARN
Nombres de recursos de Amazon

(ARN) y espacios de nombres de
servicios de AWS
Los nombres de recursos de Amazon (ARN) identifican de forma exclusiva los recursos de AWS. Se
requiere un ARN cuando es preciso especificar un recurso de AWS de forma inequívoca para la totalidad
de AWS, como en las políticas de IAM, las etiquetas de Amazon Relational Database Service (Amazon
RDS) y las llamadas a API.
Temas
• Formato de ARN (p. 84)
• Ejemplos de ARN (p. 85)
• Rutas de los ARN (p. 101)
• Espacios de nombres de servicios de AWS (p. 102)
Formato de ARN
A continuación se muestran algunos ejemplos de ARN:


arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/My App/MyEnvironment


arn:aws:iam::123456789012:user/David


arn:aws:rds:eu-west-1:123456789012:db:mysql-db


arn:aws:s3:::my_corporate_bucket/exampleobject.png
A continuación se muestran los formatos generales de los ARN; sus componentes específicos y los valores
utilizados dependerán del servicio de AWS.
arn:partition:service:region:account-id:resource
Version 1.0
84
Ejemplos de ARN
arn:partition:service:region:account-id:resourcetype/resource
arn:partition:service:region:account-id:resourcetype:resource
partition
Partición en la que se encuentra el recurso. Para las regiones de AWS estándar, la partición es aws. Si
tiene recursos en otras particiones, la partición es aws-partitionname. Por ejemplo, la partición de los
recursos de la región China (Beijing) es aws-cn.
service
Espacio de nombres del servicio que identifica el producto de AWS (por ejemplo, Amazon S3, IAM
o Amazon RDS). Para obtener una lista de espacios de nombres, consulte Espacios de nombres de
servicios de AWS (p. 102).
region
Región en la que reside el recurso. Tenga en cuenta que el ARN de algunos recursos no requiere una
región, por lo que este componente podría omitirse.
account
ID (p. 73) de la cuenta de AWS que posee el recurso, sin los guiones. Por ejemplo, 123456789012.
Tenga en cuenta que el ARN de algunos recursos no requiere un número de cuenta, por lo que este
componente podría omitirse.
resource, resourcetype:resource o resourcetype/resource
El contenido de esta parte del ARN varía en función del servicio. A menudo incluye un indicador
del tipo de recurso (por ejemplo, un usuario de IAM o una base de datos de Amazon RDS) seguido
por una barra diagonal (/) o un signo de dos puntos (:) y, a continuación, el nombre del recurso
propiamente dicho. Algunos servicios permite rutas en los nombres de recursos, tal y como se
describe en Rutas de los ARN (p. 101).
Ejemplos de ARN
En las secciones siguientes se proporcionan la sintaxis y ejemplos de los ARN de los diferentes servicios.
Para obtener más información sobre el uso de ARN en un servicio de AWS concreto, consulte la
documentación correspondiente a dicho servicio.
Algunos servicios admiten los permisos de nivel de recursos de IAM. Para obtener más información,
consulte AWS Services That Work with IAM.
Temas
• Amazon API Gateway (p. 86)
• AWS Artifact (p. 87)
• Auto Scaling (p. 87)
• AWS Certificate Manager (p. 87)
• AWS CloudFormation (p. 87)
• Amazon CloudSearch (p. 88)
• AWS CloudTrail (p. 88)
• Amazon CloudWatch Events (p. 88)
• Amazon CloudWatch Logs (p. 88)
• AWS CodeBuild (p. 89)
• AWS CodeCommit (p. 89)
• AWS CodeDeploy (p. 89)
• Amazon Cognito Your User Pools (p. 89)
Version 1.0
85
Amazon API Gateway
• Amazon Cognito Federated Identities (p. 90)

• Amazon Cognito Sync (p. 90)
• AWS Config (p. 90)
• AWS CodePipeline (p. 90)
• AWS Direct Connect (p. 90)
• Amazon DynamoDB (p. 91)
• Amazon EC2 Container Registry (Amazon ECR) (p. 91)
• Amazon EC2 Container Service (Amazon ECS) (p. 91)
• Amazon Elastic Compute Cloud (Amazon EC2) (p. 91)
• AWS Elastic Beanstalk (p. 92)
• Amazon Elastic File System (p. 92)
• Elastic Load Balancing (Balanceador de carga de aplicaciones) (p. 93)
• Elastic Load Balancing (Classic Load Balancer) (p. 93)
• Amazon Elastic Transcoder (p. 93)
• Amazon ElastiCache (p. 93)
• Amazon Elasticsearch Service (p. 94)
• Amazon Glacier (p. 94)
• AWS Health/Personal Health Dashboard (p. 94)
• AWS Identity and Access Management (IAM) (p. 94)
• AWS IoT (p. 95)
• AWS Key Management Service (AWS KMS) (p. 95)
• Amazon Kinesis Firehose (Firehose) (p. 95)
• Amazon Kinesis Streams (Streams) (p. 96)
• AWS Lambda (Lambda) (p. 96)
• Amazon Machine Learning (Amazon ML) (p. 96)
• AWS Organizations (p. 96)
• AWS Mobile Hub (p. 97)
• Amazon Polly (p. 97)
• Amazon Redshift (p. 97)
• Amazon Relational Database Service (Amazon RDS) (p. 98)
• Amazon Route 53 (p. 98)
• Amazon EC2 Systems Manager (SSM) (p. 98)
• Amazon Simple Notification Service (Amazon SNS) (p. 99)
• Amazon Simple Storage Service (Amazon S3) (p. 99)
• Amazon Simple Workflow Service (Amazon SWF) (p. 100)
• AWS Step Functions (p. 100)
• AWS Storage Gateway (p. 100)
• AWS Trusted Advisor (p. 101)
• AWS WAF (p. 101)
Amazon API Gateway

Sintaxis:
arn:aws:apigateway:region::resource-path
Version 1.0
86
AWS Artifact
arn:aws:execute-api:region:account-id:api-id/stage-name/HTTP-VERB/resource-path
Ejemplos:
arn:aws:apigateway:us-east-1::/restapis/a123456789012bc3de45678901f23a45/*
arn:aws:apigateway:us-east-1::a123456789012bc3de45678901f23a45:/test/mydemoresource/*
arn:aws:apigateway:*::a123456789012bc3de45678901f23a45:/*/petstorewalkthrough/pets
arn:aws:execute-api:us-east-1:123456789012:qsxrty/test/GET/mydemoresource/*
AWS Artifact
Sintaxis:
arn:aws:artifact:::report-package/document-type/report-type
Ejemplos:
arn:aws:artifact:::report-package/Certifications and Attestations/SOC/*

arn:aws:artifact:::report-package/Certifications and Attestations/ISO/*
arn:aws:artifact:::report-package/Certifications and Attestations/PCI/*
Auto Scaling
Sintaxis:
arn:aws:autoscaling:region:account-
id:scalingPolicy:policyid:autoScalingGroupName/groupfriendlyname:policyname/
policyfriendlyname
arn:aws:autoscaling:region:account-
id:autoScalingGroup:groupid:autoScalingGroupName/groupfriendlyname
Ejemplo:
arn:aws:autoscaling:us-east-1:123456789012:scalingPolicy:c7a27f55-d35e-4153-
b044-8ca9155fc467:autoScalingGroupName/my-test-asg1:policyName/my-scaleout-policy
AWS Certificate Manager

Sintaxis:
arn:aws:acm:region:account-id:certificate/certificate-id
Ejemplo:
arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
AWS CloudFormation
Sintaxis:
arn:aws:cloudformation:region:account-id:stack/stackname/additionalidentifier
Version 1.0
87
Amazon CloudSearch
arn:aws:cloudformation:region:account-id:changeSet/changesetname/additionalidentifier
Ejemplos:
arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-
a6e8-50fa526be49c
arn:aws:cloudformation:us-east-1:123456789012:changeSet/MyProductionChangeSet/
abc9dbf0-43c2-11e3-a6e8-50fa526be49c
Amazon CloudSearch
Sintaxis:
arn:aws:cloudsearch:region:account-id:domain/domainname
Ejemplo:
arn:aws:cloudsearch:us-east-1:123456789012:domain/imdb-movies
AWS CloudTrail
Sintaxis:
arn:aws:cloudtrail:region:account-id:trail/trailname
Ejemplo:
arn:aws:cloudtrail:us-east-1:123456789012:trail/mytrailname

Sintaxis:
arn:aws:events:region:*:*
Ejemplos:
arn:aws:events:us-east-1:*:*
arn:aws:events:us-east-1:123456789012:*
arn:aws:events:us-east-1:123456789012:rule/my-rule

Sintaxis:
arn:aws:logs:region:*:*
Ejemplos:
arn:aws:logs:us-east-1:*:*
Version 1.0
88
AWS CodeBuild
arn:aws:logs:us-east-1:123456789012:*
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group:*
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group*
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group:log-stream:my-log-stream
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group:log-stream:my-log-stream*
arn:aws:logs:us-east-1:123456789012:log-group:my-log-group*:log-stream:my-log-stream*
AWS CodeBuild
Sintaxis:
arn:aws:codebuild:region:account-id:resourcetype/resource
Ejemplos:
arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project
arn:aws:codebuild:us-east-1:123456789012:build/my-demo-
project:7b7416ae-89b4-46cc-8236-61129df660ad
AWS CodeCommit
Sintaxis:
arn:aws:codecommit:region:account-id:resource-specifier
Ejemplo:
arn:aws:codecommit:us-east-1:123456789012:MyDemoRepo
AWS CodeDeploy
Sintaxis:
arn:aws:codedeploy:region:account-id:resource-type:resource-specifier
arn:aws:codedeploy:region:account-id:resource-type/resource-specifier
Ejemplo:
arn:aws:codedeploy:us-east-1:123456789012:application:WordPress_App
arn:aws:codedeploy:us-east-1:123456789012:instance/AssetTag*
Amazon Cognito Your User Pools

Sintaxis:
arn:aws:cognito-idp:region:account-id:userpool/user-pool-id
Ejemplo:
arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1:1a1a1a1a-
ffff-1111-9999-12345678
Version 1.0
89

Sintaxis:
arn:aws:cognito-identity:region:account-id:identitypool/identity-pool-id
Ejemplo:
arn:aws:cognito-identity:us-east-1:123456789012:/identitypool/us-east-1:1a1a1a1a-
ffff-1111-9999-12345678
Amazon Cognito Sync

Sintaxis:
arn:aws:cognito-sync:region:account-id:identitypool/identity-pool-id
arn:aws:cognito-sync:region:account-id:identitypool/identity-pool-id/identity/identity-id
arn:aws:cognito-sync:region:account-id:identitypool/identity-pool-id/identity/identity-id/
dataset/dataset-name
Ejemplo:
arn:aws:cognito-sync:us-east-1:123456789012:identitypool/us-east-1:1a1a1a1a-
ffff-1111-9999-12345678
AWS Config
Sintaxis:
arn:aws:config:region:account-id:config-rule/config-rule-name
Ejemplo:
arn:aws:config:us-east-1:123456789012:config-rule/MyConfigRule
AWS CodePipeline
Sintaxis:
arn:aws:codepipeline:region:account-id:resource-specifier
Ejemplo:
arn:aws:codepipeline:us-east-1:123456789012:MyDemoPipeline
AWS Direct Connect

Sintaxis:
Version 1.0
90
Amazon DynamoDB
arn:aws:directconnect:region:account-id:dxcon/connection-id
arn:aws:directconnect:region:account-id:dxlag/lag-id
arn:aws:directconnect:region:account-id:dxvif/virtual-interface-id
Ejemplos:
arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-fgase048
arn:aws:directconnect:us-east-1:123456789012:dxlag/dxlag-ffy7zraq
arn:aws:directconnect:us-east-1:123456789012:dxvif/dxvif-fgrb110x
Amazon DynamoDB
Sintaxis:
arn:aws:dynamodb:region:account-id:table/tablename
Ejemplo:
arn:aws:dynamodb:us-east-1:123456789012:table/books_table
Amazon EC2 Container Registry (Amazon ECR)

Sintaxis:
arn:aws:ecr:region:account-id:repository/repository-name
Ejemplo:
arn:aws:ecr:us-east-1:123456789012:repository/my-repository
Amazon EC2 Container Service (Amazon ECS)

Sintaxis:
arn:aws:ecs:region:account-id:cluster/cluster-name
arn:aws:ecs:region:account-id:container-instance/container-instance-id
arn:aws:ecs:region:account-id:task-definition/task-definition-family-name:task-definition-
revision-number
arn:aws:ecs:region:account-id:service/service-name
arn:aws:ecs:region:account-id:task/task-id
arn:aws:ecs:region:account-id:container/container-id
Ejemplos:
arn:aws:ecs:us-east-1:123456789012:cluster/my-cluster
arn:aws:ecs:us-east-1:123456789012:container-instance/403125b0-555c-4473-86b5-65982db28a6d
arn:aws:ecs:us-east-1:123456789012:task-definition/hello_world:8
arn:aws:ecs:us-east-1:123456789012:service/sample-webapp
arn:aws:ecs:us-east-1:123456789012:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252a
arn:aws:ecs:us-east-1:123456789012:container/476e7c41-17f2-4c17-9d14-412566202c8a

Sintaxis:
Version 1.0
91
arn:aws:ec2:region:account-id:customer-gateway/cgw-id
arn:aws:ec2:region:account_id:dedicated-host/host_id
arn:aws:ec2:region:account-id:dhcp-options/dhcp-options-id
arn:aws:ec2:region::image/image-id
arn:aws:ec2:region:account-id:instance/instance-id
arn:aws:iam::account:instance-profile/instance-profile-name
arn:aws:ec2:region:account-id:internet-gateway/igw-id
arn:aws:ec2:region:account-id:key-pair/key-pair-name
arn:aws:ec2:region:account-id:network-acl/nacl-id
arn:aws:ec2:region:account-id:network-interface/eni-id
arn:aws:ec2:region:account-id:placement-group/placement-group-name
arn:aws:ec2:region:account-id:route-table/route-table-id
arn:aws:ec2:region:account-id:security-group/security-group-id
arn:aws:ec2:region:account-id:snapshot/snapshot-id
arn:aws:ec2:region:account-id:subnet/subnet-id
arn:aws:ec2:region:account-id:volume/volume-id
arn:aws:ec2:region:account-id:vpc/vpc-id
arn:aws:ec2:region:account-id:vpc-peering-connection/vpc-peering-connection-id
arn:aws:ec2:region:account-id:vpn-connection/vpn-id
arn:aws:ec2:region:account-id:vpn-gateway/vgw-id
Ejemplos:
arn:aws:ec2:us-east-1:123456789012:dedicated-host/h-12345678
arn:aws:ec2:us-east-1::image/ami-1a2b3c4d
arn:aws:ec2:us-east-1:123456789012:instance/*
arn:aws:ec2:us-east-1:123456789012:volume/*
arn:aws:ec2:us-east-1:123456789012:volume/vol-1a2b3c4d

Sintaxis:
arn:aws:elasticbeanstalk:region:account-id:application/applicationname
arn:aws:elasticbeanstalk:region:account-id:applicationversion/applicationname/versionlabel
arn:aws:elasticbeanstalk:region:account-id:environment/applicationname/environmentname
arn:aws:elasticbeanstalk:region::solutionstack/solutionstackname
arn:aws:elasticbeanstalk:region:account-
id:configurationtemplate/applicationname/templatename
Ejemplos:
arn:aws:elasticbeanstalk:us-east-1:123456789012:application/My App
arn:aws:elasticbeanstalk:us-east-1:123456789012:applicationversion/My App/My Version
arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/My App/MyEnvironment
arn:aws:elasticbeanstalk:us-east-1::solutionstack/32bit Amazon Linux running Tomcat 7
arn:aws:elasticbeanstalk:us-east-1:123456789012:configurationtemplate/My App/My Template

Sintaxis:
arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
Ejemplo:
arn:aws:elasticfilesystem:us-east-1:123456789012:file-system-id/fs12345678
Version 1.0
92
Elastic Load Balancing (Balanceador
de carga de aplicaciones)
Elastic Load Balancing (Balanceador de carga de

aplicaciones)
Sintaxis:
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-
balancer-id
arn:aws:elasticloadbalancing:region:account-id:listener/app/load-balancer-name/load-
balancer-id/listener-id
arn:aws:elasticloadbalancing:region:account-id:listener-rule/app/load-balancer-name/load-
balancer-id/listener-id/rule-id
arn:aws:elasticloadbalancing:region:account-id:targetgroup/target-group-name/target-group-
id
Ejemplos:
arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/my-load-
balancer/50dc6c495c0c9188
arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-
balancer/50dc6c495c0c9188/f2f7dc8efc522ab2
arn:aws:elasticloadbalancing:us-east-1:123456789012:listener-rule/app/my-load-
balancer/50dc6c495c0c9188/f2f7dc8efc522ab2/9683b2d02a6cabee
arn:aws:elasticloadbalancing:us-east-1:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
Elastic Load Balancing (Classic Load Balancer)

Sintaxis:
arn:aws:elasticloadbalancing:region:account-id:loadbalancer/name
Ejemplo:
arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/my-load-balancer

Sintaxis:
arn:aws:elastictranscoder:region:account-id:resource/id
Ejemplo:
arn:aws:elastictranscoder:us-east-1:123456789012:preset/*
Amazon ElastiCache
Sintaxis:
arn:aws:elasticache:region:account-id:resourcetype:resourcename
Ejemplos:
Version 1.0
93
arn:aws:elasticache:us-east-2:123456789012:cluster:myCluster
arn:aws:elasticache:us-east-2:123456789012:snapshot:mySnapshot

Sintaxis:
arn:aws:es:region:account-id:domain/domain-name
Ejemplo:
arn:aws:es:us-east-1:123456789012:domain/streaming-logs
Amazon Glacier
Sintaxis:
arn:aws:glacier:region:account-id:vaults/vaultname
Ejemplos:
arn:aws:glacier:us-east-1:123456789012:vaults/examplevault
arn:aws:glacier:us-east-1:123456789012:vaults/example*
arn:aws:glacier:us-east-1:123456789012:vaults/*
AWS Health/Personal Health Dashboard

Sintaxis:
arn:aws:health:region::event/event-id
arn:aws:health:region:account-id:entity/entity-id
Ejemplos:
arn:aws:health:us-east-1::event/AWS_EC2_EXAMPLE_ID
arn:aws:health:us-east-1:123456789012:entity/AVh5GGT7ul1arKr1sE1K
AWS Identity and Access Management (IAM)

Sintaxis:
arn:aws:iam::account-id:root
arn:aws:iam::account-id:user/user-name
arn:aws:iam::account-id:group/group-name
arn:aws:iam::account-id:role/role-name
arn:aws:iam::account-id:policy/policy-name
arn:aws:iam::account-id:instance-profile/instance-profile-name
arn:aws:sts::account-id:federated-user/user-name
arn:aws:sts::account-id:assumed-role/role-name/role-session-name
arn:aws:iam::account-id:mfa/virtual-device-name
arn:aws:iam::account-id:server-certificate/certificate-name
arn:aws:iam::account-id:saml-provider/provider-name
arn:aws:iam::account-id:oidc-provider/provider-name
Version 1.0
94
AWS IoT
Ejemplos:
arn:aws:iam::123456789012:root
arn:aws:iam::123456789012:user/Bob
arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob
arn:aws:iam::123456789012:group/Developers
arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developers
arn:aws:iam::123456789012:role/S3Access
arn:aws:iam::123456789012:role/application_abc/component_xyz/S3Access
arn:aws:iam::123456789012:policy/UsersManageOwnCredentials
arn:aws:iam::123456789012:policy/division_abc/subdivision_xyz/UsersManageOwnCredentials
arn:aws:iam::123456789012:instance-profile/Webserver
arn:aws:sts::123456789012:federated-user/Bob
arn:aws:sts::123456789012:assumed-role/Accounting-Role/Mary
arn:aws:iam::123456789012:mfa/BobJonesMFA
arn:aws:iam::123456789012:server-certificate/ProdServerCert
arn:aws:iam::123456789012:server-certificate/division_abc/subdivision_xyz/ProdServerCert
arn:aws:iam::123456789012:saml-provider/ADFSProvider
arn:aws:iam::123456789012:oidc-provider/GoogleProvider
Para obtener más información sobre los ARN de IAM, consulte IAM ARNs en la Guía del usuario de IAM.
AWS IoT
Sintaxis:
arn:aws:iot:your-region:account-id:cert/cert-ID
arn:aws:iot:your-region:account-id:policy/policy-name
arn:aws:iot:your-region:account-id:rule/rule-name
arn:aws:iot:your-region:account-id:client/client-id/rule-name
Ejemplos:
arn:aws:iot:your-
region:123456789012:cert/123a456b789c123d456e789f123a456b789c123d456e789f123a456b789c123c456d7
arn:aws:iot:123456789012:policy/MyIoTPolicy
arn:aws:iot:your-region:123456789012:rule/MyIoTRule
arn:aws:iot:your-region:123456789012:client/client101
AWS Key Management Service (AWS KMS)

Sintaxis:
arn:aws:kms:region:account-id:key/key-id
arn:aws:kms:region:account-id:alias/alias
Ejemplos:
arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012
arn:aws:kms:us-east-1:123456789012:alias/example-alias
Amazon Kinesis Firehose (Firehose)

Sintaxis:
arn:aws:firehose:region:account-id:deliverystream/delivery-stream-name
Version 1.0
95
Amazon Kinesis Streams (Streams)
Ejemplo:
arn:aws:firehose:us-east-1:123456789012:deliverystream/example-stream-name
Amazon Kinesis Streams (Streams)

Sintaxis:
arn:aws:kinesis:region:account-id:stream/stream-name
Ejemplo:
arn:aws:kinesis:us-east-1:123456789012:stream/example-stream-name
AWS Lambda (Lambda)

Sintaxis:
arn:aws:lambda:region:account-id:function:function-name
arn:aws:lambda:region:account-id:function:function-name:alias-name
arn:aws:lambda:region:account-id:function:function-name:version
arn:aws:lambda:region:account-id:event-source-mappings:event-source-mapping-id
Ejemplos:
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords:your alias
arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords:1.0
arn:aws:lambda:us-east-1:123456789012:event-source-mappings:kinesis-stream-arn
Amazon Machine Learning (Amazon ML)

Sintaxis:
arn:aws:machinelearning:region:account-id:datasource/datasourceID
arn:aws:machinelearning:region:account-id:mlmodel/mlmodelID
arn:aws:machinelearning:region:account-id:batchprediction/batchpredictionlID
arn:aws:machinelearning:region:account-id:evaluation/evaluationID
Ejemplos:
arn:aws:machinelearning:us-east-1:123456789012:datasource/my-datasource-1
arn:aws:machinelearning:us-east-1:123456789012:mlmodel/my-mlmodel
arn:aws:machinelearning:us-east-1:123456789012:batchprediction/my-batchprediction
arn:aws:machinelearning:us-east-1:123456789012:evaluation/my-evaluation
AWS Organizations
Sintaxis:
arn:aws:organizations:region:master-account-id:organization/o-organization-id
arn:aws:organizations:region:master-account-id:root/o-organization-id/r-root-id
arn:aws:organizations:region:master-account-id:account/o-organization-id/account-id
Version 1.0
96
AWS Mobile Hub
arn:aws:organizations:region:master-account-id:ou/o-organization-id/r-root-id/
ou-organizational-unit-id
arn:aws:organizations:region:master-account-id:policy/o-organization-id/policy-type/
p-policy-id
arn:aws:organizations:region:master-account-id:handshake/o-organization-id/handshake-type/
h-handshake-id
Ejemplo:
arn:aws:organizations:us-east-1:123456789012:organization/o-a1b2c3d4e5example
arn:aws:organizations:us-east-1:123456789012:root/o-a1b2c3d4e5/r-f6g7h8i9j0example
arn:aws:organizations:us-east-1:123456789012:account/o-a1b2c3d4e5/123456789012
arn:aws:organizations:us-east-1:123456789012:ou/o-a1b2c3d4e5/ou-1a2b3c-k9l8m7n6o5example
arn:aws:organizations:us-east-1:123456789012:policy/o-a1b2c3d4e5/service_control_policy/p-
p4q3r2s1t0example
arn:aws:organizations:us-east-1:123456789012:handshake/o-a1b2c3d4e5/h-u2v4w5x8y0example
AWS Mobile Hub

Sintaxis:
arn:aws:mobilehub:region:account-id:project/projectID
Ejemplos:
arn:aws:mobilehub:us-east-1:123456789012:project/a01234567-b012345678-123c-d013456789abc
Amazon Polly
Sintaxis:
arn:aws:polly:region:account-id:lexicon/LexiconName
Ejemplo:
arn:aws:polly:us-east-1:123456789012:lexicon/myLexicon
Amazon Redshift
Sintaxis:
arn:aws:redshift:region:account-id:cluster:clustername
arn:aws:redshift:region:account-id:dbuser:clustername/dbusername
arn:aws:redshift:region:account-id:parametergroup:parametergroupname
arn:aws:redshift:region:account-id:securitygroup:securitygroupname
arn:aws:redshift:region:account-id:snapshot:clustername/snapshotname
arn:aws:redshift:region:account-id:subnetgroup:subnetgroupname
Ejemplos:
arn:aws:redshift:us-east-1:123456789012:cluster:my-cluster
arn:aws:redshift:us-east-1:123456789012:my-cluster/my-dbuser-name
arn:aws:redshift:us-east-1:123456789012:parametergroup:my-parameter-group
arn:aws:redshift:us-east-1:123456789012:securitygroup:my-public-group
arn:aws:redshift:us-east-1:123456789012:snapshot:my-cluster/my-snapshot20130807
Version 1.0
97
arn:aws:redshift:us-east-1:123456789012:subnetgroup:my-subnet-10

Los ARN se utilizan en Amazon RDS solo con etiquetas para instancias de base de datos. Para obtener
más información, consulte Tagging a DB Instance en la Amazon Relational Database Service User Guide.
Sintaxis:
arn:aws:rds:region:account-id:db:db-instance-name
arn:aws:rds:region:account-id:snapshot:snapshot-name
arn:aws:rds:region:account-id:cluster:db-cluster-name
arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name
arn:aws:rds:region:account-id:og:option-group-name
arn:aws:rds:region:account-id:pg:parameter-group-name
arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name
arn:aws:rds:region:account-id:secgrp:security-group-name
arn:aws:rds:region:account-id:subgrp:subnet-group-name
arn:aws:rds:region:account-id:es:subscription-name
Ejemplos:
arn:aws:rds:us-east-1:123456789012:db:mysql-db-instance1
arn:aws:rds:us-east-1:123456789012:snapshot:my-snapshot2
arn:aws:rds:us-east-1:123456789012:cluster:my-cluster1
arn:aws:rds:us-east-1:123456789012:cluster-snapshot:cluster1-snapshot7
arn:aws:rds:us-east-1:123456789012:og:mysql-option-group1
arn:aws:rds:us-east-1:123456789012:pg:mysql-repl-pg1
arn:aws:rds:us-east-1:123456789012:cluster-pg:aurora-pg3
arn:aws:rds:us-east-1:123456789012:secgrp:dev-secgrp2
arn:aws:rds:us-east-1:123456789012:subgrp:prod-subgrp1
arn:aws:rds:us-east-1:123456789012:es:monitor-events2
Amazon Route 53
Sintaxis:
arn:aws:route53:::hostedzone/zoneid
arn:aws:route53:::change/changeid
Tenga en cuenta que Amazon Route 53 no requiere un número de cuenta ni una región en los ARN.
Ejemplos:
arn:aws:route53:::hostedzone/Z148QEXAMPLE8V
arn:aws:route53:::change/C2RDJ5EXAMPLE2
arn:aws:route53:::change/*
Amazon EC2 Systems Manager (SSM)

Sintaxis:
arn:aws:ssm:region:account-id:document/document_name
arn:aws:ssm:region:account-id:parameter/parameter_name
arn:aws:ssm:region:account-id:patchbaseline/baseline_id
arn:aws:ssm:region:account-id:maintenancewindow/window_id
arn:aws:ssm:region:account-id:automation-execution/execution_id
Version 1.0
98
arn:aws:ssm:region:account-id:automation-Activity/activity_name
arn:aws:ssm:region:account-id:automation-definition/definitionName:version
arn:aws:ssm:region:account-id:managed-instance/instance_id
arn:aws:ssm:region:account-id:managed-instance-inventory/instance_id
Ejemplos:
arn:aws:ssm:us-east-1:123456789012:document/highAvailabilityServerSetup
arn:aws:ssm:us-east-1:123456789012:parameter/myParameterName
arn:aws:ssm:us-east-1:123456789012:patchbaseline/pb-12345678901234567
arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-12345678901234567
arn:aws:ssm:us-east-1:123456789012:automation-execution/123456-6789-1a2b3-c4d5-e1a2b3c4d
arn:aws:ssm:us-east-1:123456789012:automation-activity/myActivityName
arn:aws:ssm:us-east-1:123456789012:automation-definition/myDefinitionName:1.0
arn:aws:ssm:us-east-1:123456789012:managed-instance/mi-12345678901234567
arn:aws:ssm:us-east-1:123456789012:managed-instance-inventory/i-12345661

Sintaxis:
arn:aws:sns:region:account-id:topicname
arn:aws:sns:region:account-id:topicname:subscriptionid
Ejemplos:
arn:aws:sns:*:123456789012:my_corporate_topic
arn:aws:sns:us-east-1:123456789012:my_corporate_topic:02034b43-fefa-4e07-a5eb-3be56f8c54ce

Sintaxis:
arn:aws:sqs:region:account-id:queuename
Ejemplo:
arn:aws:sqs:us-east-1:123456789012:queue1

Sintaxis:
arn:aws:s3:::bucket_name
arn:aws:s3:::bucket_name/key_name
Note
Amazon S3 no requiere un número de cuenta ni una región en los ARN. Si especifica un ARN
para una política, también puede utilizar el carácter comodín “*” en la parte de ID relativo del ARN.
Ejemplos:
arn:aws:s3:::my_corporate_bucket
arn:aws:s3:::my_corporate_bucket/exampleobject.png
Version 1.0
99
arn:aws:s3:::my_corporate_bucket/*
arn:aws:s3:::my_corporate_bucket/Development/*
Para obtener más información, consulte Specifying Resources in a Policy en la Guía para desarrolladores
de Amazon Simple Storage Service.

Sintaxis:
arn:aws:swf:region:account-id:/domain/domain_name
Ejemplos:
arn:aws:swf:us-east-1:123456789012:/domain/department1
arn:aws:swf:*:123456789012:/domain/*
AWS Step Functions

Sintaxis:
arn:aws:states:region:account-id:activity:activityName
arn:aws:states:region:account-id:stateMachine:stateMachineName
arn:aws:states:region:account-id:execution:stateMachineName:executionName
Ejemplos:
arn:aws:states:us-east-1:123456789012:activity:HelloActivity
arn:aws:states:us-east-1:123456789012:stateMachine:HelloStateMachine
arn:aws:states:us-
east-1:123456789012:execution:HelloStateMachine:HelloStateMachineExecution
AWS Storage Gateway

Sintaxis:
arn:aws:storagegateway:region:account-id:gateway/gateway-id
arn:aws:storagegateway:region:account-id:gateway/gateway-id/volume/volume-id
arn:aws:storagegateway:region:account-id:tape/tapebarcode
arn:aws:storagegateway:region:account-id:gateway/gateway-id/target/iSCSItarget
arn:aws:storagegateway:region:account-id:gateway/gateway-id/device/vtldevice
Ejemplos:
arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B
arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B/volume/vol-1122AABB
arn:aws:storagegateway:us-east-1:123456789012:tape/AMZNC8A26D
arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B/target/
iqn.1997-05.com.amazon:vol-1122AABB
arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B/device/AMZN_SGW-
FF22CCDD_TAPEDRIVE_00010
Note
Para cada recurso de AWS Storage Gateway, puede especificar un carácter comodín (*).
Version 1.0
100
AWS Trusted Advisor
AWS Trusted Advisor

Sintaxis:
arn:aws:trustedadvisor:*:account-id:checks/categorycode/checkid
Ejemplo:
arn:aws:trustedadvisor:*:123456789012:checks/fault_tolerance/BueAdJ7NrP
AWS WAF
Sintaxis:
arn:aws:waf::account-id:resource-type/resource-id
Ejemplos:
arn:aws:waf::123456789012:rule/41b5b052-1e4a-426b-8149-3595be6342c2
arn:aws:waf::123456789012:webacl/3bffd3ed-fa2e-445e-869f-a6a7cf153fd3
arn:aws:waf::123456789012:ipset/3f74bd8c-f046-4970-a1a7-41aa52e05480
arn:aws:waf::123456789012:bytematchset/d131bc0b-57be-4536-af1d-4894fd28acc4
arn:aws:waf::123456789012:sqlinjectionset/2be79d6f-2f41-4c9b-8192-d719676873f0
arn:aws:waf::123456789012:changetoken/03ba2197-fc98-4ac0-a67d-5b839762b16b
Rutas de los ARN

Algunos servicios permiten especificar un a ruta para el nombre de recurso. Por ejemplo, en Amazon S3,
el identificador de recurso es un nombre de objeto que puede incluir barras diagonales (/) para formar una
ruta. Del mismo modo, los nombres de usuario y nombres de grupo de IAM puede incluir rutas.
En algunos casos, las rutas pueden incluir un carácter comodín, es decir, un asterisco (*). Por ejemplo, si
va a escribir una política de IAM y en el Resource elemento desea especificar todos los usuarios de IAM
cuya ruta sea product_1234, puede utilizar un carácter comodín como se indica a continuación:
arn:aws:iam::123456789012:user/Development/product_1234/*
Del mismo modo, en el elemento Resource de una política de IAM, al final del ARN puede especificar
user/* para referirse a todos los usuarios o group/* para referirse a todos los grupos, como en los
siguientes ejemplos:
"Resource":"arn:aws:iam::123456789012:user/*"
"Resource":"arn:aws:iam::123456789012:group/*"
No puede utilizar un comodín para especificar a todos los usuarios en el elemento Principal de una
política basada en recursos ni en una política de confianza de rol. Los grupos no se admiten como
entidades principales en ninguna política.
En el siguiente ejemplo se muestran los ARN para un bucket de Amazon S3 en los que el nombre de
recurso incluye una ruta:
arn:aws:s3:::my_corporate_bucket/*
Version 1.0
101
Espacios de nombres de servicios de AWS
arn:aws:s3:::my_corporate_bucket/Development/*
No puede utilizar un comodín en la parte del ARN que especifica el tipo de recurso, como el término user
de un ARN de IAM.
Lo siguiente no está permitido:
arn:aws:iam::123456789012:u*

Al crear políticas de IAM de AWS o trabajar con nombres de recursos de Amazon (ARN), el servicio de
AWS se identifica mediante un espacio de nombres. Por ejemplo, el espacio de nombres de Amazon S3 es
s3 y el espacio de nombres de Amazon EC2 es ec2. Los espacios de nombres se utilizan para identificar
acciones y recursos.
En el siguiente ejemplo se muestra una política de IAM en cuyos valores de los elementos Action y
de los elementos Resource y Condition se utilizan espacios de nombres para identificar los servicios
correspondientes a las acciones y los recursos.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": [
"arn:aws:ec2:us-west-2:123456789012:customer-gateway/*",
"arn:aws:ec2:us-west-2:123456789012:dhcp-options/*",
"arn:aws:ec2:us-west-2::image/*",
"arn:aws:ec2:us-west-2:123456789012:instance/*",
"arn:aws:iam::123456789012:instance-profile/*",
"arn:aws:ec2:us-west-2:123456789012:internet-gateway/*",
"arn:aws:ec2:us-west-2:123456789012:key-pair/*",
"arn:aws:ec2:us-west-2:123456789012:network-acl/*",
"arn:aws:ec2:us-west-2:123456789012:network-interface/*",
"arn:aws:ec2:us-west-2:123456789012:placement-group/*",
"arn:aws:ec2:us-west-2:123456789012:route-table/*",
"arn:aws:ec2:us-west-2:123456789012:security-group/*",
"arn:aws:ec2:us-west-2::snapshot/*",
"arn:aws:ec2:us-west-2:123456789012:subnet/*",
"arn:aws:ec2:us-west-2:123456789012:volume/*",
"arn:aws:ec2:us-west-2:123456789012:vpc/*",
"arn:aws:ec2:us-west-2:123456789012:vpc-peering-connection/*"
]
},
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "arn:aws:s3:::example_bucket/marketing/*"
},
{
"Effect": "Allow",
"Action": "s3:ListBucket*",
"Resource": "arn:aws:s3:::example_bucket",
"Condition": {"StringLike": {"s3:prefix": "marketing/*"}}
}
]
}
Version 1.0
102
La siguiente tabla contiene los espacios de nombres de cada servicio de AWS.
Servicio Espacio de nombres
API Gateway apigateway
Amazon AppStream appstream
AWS Artifact artifact
Auto Scaling autoscaling
AWS Billing and Cost Management aws-portal
AWS Certificate Manager (ACM) acm
AWS CloudFormation cloudformation
Amazon CloudFront cloudfront
AWS CloudHSM cloudhsm
Amazon CloudSearch cloudsearch
AWS CloudTrail cloudtrail
Amazon CloudWatch cloudwatch
Amazon CloudWatch Events events
Amazon CloudWatch Logs logs
AWS CodeBuild codebuild
AWS CodeCommit codecommit
AWS CodeDeploy codedeploy
AWS CodePipeline codepipeline
Amazon Cognito Your User Pools cognito-idp
Amazon Cognito Federated Identities cognito-identity
Amazon Cognito Sync cognito-sync
AWS Config config
AWS Data Pipeline datapipeline
AWS Database Migration Service (AWS DMS) dms
AWS Device Farm devicefarm
AWS Direct Connect directconnect
AWS Directory Service ds
Amazon DynamoDB dynamodb
Amazon Elastic Compute Cloud (Amazon EC2) ec2
Amazon EC2 Container Registry (Amazon ECR) ecr
Version 1.0
103
Amazon EC2 Container Service (Amazon ECS) ecs
Amazon EC2 Systems Manager (SSM) ssm
AWS Elastic Beanstalk elasticbeanstalk
Amazon Elastic File System (Amazon EFS) elasticfilesystem
Elastic Load Balancing elasticloadbalancing
Amazon EMR elasticmapreduce
Amazon Elastic Transcoder elastictranscoder
Amazon ElastiCache elasticache
Amazon Elasticsearch Service (Amazon ES) es
Amazon GameLift gamelift
Amazon Glacier glacier
AWS Health/Personal Health Dashboard health
AWS Identity and Access Management (IAM) iam
AWS Import/Export importexport
Amazon Inspector inspector
AWS IoT iot
AWS Key Management Service (AWS KMS) kms
Amazon Kinesis Analytics kinesisanalytics
Amazon Kinesis Firehose firehose
Amazon Kinesis Streams kinesis
AWS Lambda lambda
Amazon Lightsail lightsail
Amazon Machine Learning machinelearning
AWS Marketplace aws-marketplace
AWS Marketplace Management Portal aws-marketplace-management
Amazon Mobile Analytics mobileanalytics
AWS Mobile Hub mobilehub
AWS OpsWorks opsworks
AWS OpsWorks for Chef Automate opsworks-cm
AWS Organizations organizations
Amazon Polly polly
Version 1.0
104
Amazon Redshift redshift
Amazon Relational Database Service (Amazon rds

RDS)
Amazon Route 53 route53
Amazon Route 53 Domains route53domains
AWS Security Token Service (AWS STS) sts
AWS Service Catalog servicecatalog
Amazon Simple Email Service (Amazon SES) ses
Amazon Simple Notification Service (Amazon SNS) sns
Amazon Simple Queue Service (Amazon SQS) sqs
Amazon Simple Storage Service (Amazon S3) s3
Amazon Simple Workflow Service (Amazon SWF) swf
Amazon SimpleDB sdb
AWS Step Functions states
AWS Storage Gateway storagegateway
AWS Support support
AWS Trusted Advisor trustedadvisor
Amazon Virtual Private Cloud (Amazon VPC) ec2
AWS WAF waf
Amazon WorkDocs workdocs
Amazon WorkMail workmail
Amazon WorkSpaces workspaces
Version 1.0
105
¿Cuándo es preciso firmar las solicitudes?
Firma de solicitudes de la API de

AWS
Cuando se envían solicitudes HTTP a AWS, estas se firman para que AWS pueda identificar quién las
envía. Las solicitudes se firman con su clave de acceso de AWS, que se compone de un ID de clave de
acceso y una clave de acceso secreta. Algunas solicitudes no requieren firma; por ejemplo, las solicitudes
anónimas a Amazon Simple Storage Service (Amazon S3) y algunas operaciones de la API de AWS
Security Token Service (AWS STS), tales como AssumeRoleWithWebIdentity.
Note
Debe aprender a firmar solicitudes HTTP solo cuando las cree manualmente. Cuando se utiliza
AWS Command Line Interface (AWS CLI) o uno de los AWS SDK para realizar solicitudes a AWS,
estas herramientas firman automáticamente las solicitudes con la clave de acceso especificada
al configurar las herramientas. Si usa estas herramientas, no tiene que aprender a firmar las
solicitudes personalmente.
¿Cuándo es preciso firmar las solicitudes?

Cuando se escribe código personalizado para enviar solicitudes HTTP a AWS, debe incluir código para
firmar las solicitudes. Puede hacerlo por las razones siguientes:
• Si trabaja con un lenguaje de programación para el que no hay un AWS SDK disponible.
• Si desea disponer de control total sobre el modo en que se envía una solicitud a AWS.
No es necesario firmar una solicitud cuando se usa AWS Command Line Interface (AWS CLI) o uno de los
AWS SDK. Estas herramientas administran los detalles de conexión, como el cálculo de firmas, el control
de reintentos de solicitud y el control de errores. En la mayoría de los casos, también contienen código de
muestra, tutoriales y otros recursos para ayudarle a empezar a escribir aplicaciones que interaccionan con
AWS.
¿Por qué se firman las solicitudes?

El proceso de firma ayuda a proteger las solicitudes de las siguientes formas:
Version 1.0
106
Firma de solicitudes
• Comprobación de la identidad del solicitante
La firma permite asegurarse de que la solicitud la ha enviado alguien con una clave de acceso
válida. Para obtener más información, consulte Descripción y obtención de las credenciales de
seguridad (p. 71).
• Protección de los datos en tránsito
Para evitar que se altere una solicitud mientras están en tránsito, algunos de sus elementos se utilizan
para calcular un resumen (hash) de la solicitud y el valor hash resultante se incluye como parte de la
solicitud. Cuando un servicio de AWS recibe la solicitud, utiliza la misma información para calcular un
hash y lo compara con el valor hash contenido en su solicitud. Si los valores no coinciden, AWS deniega
la solicitud.
• Protección contra posibles ataques de reproducción
En la mayoría de los casos, una solicitud debe llegar a AWS en el plazo de cinco minutos a partir de la
marca de tiempo que figura en ella. De lo contrario, AWS deniega la solicitud.
Firma de solicitudes
Para firmar una solicitud, se calcula un resumen (hash) de la solicitud y, a continuación, se usa el valor
hash con otros valores de la solicitud y con la clave de acceso para crear un hash firmado; esto es la firma.
Puede añadir la firma a una solicitud de cualquiera de las siguientes formas:
• La firma se agrega a la solicitud mediante el encabezado Authorization HTTP.

• La firma se añade a la solicitud como valor de cadena de consulta. Dado que la firma de la solicitud
forma parte de la dirección URL, este tipo de URL se denomina URL prefirmada.
versiones de firmas
AWS admite dos versiones de firmas: Signature Version 4 y Signature Version 2. Debe utilizar Signature
Version 4. Todos los servicios de AWS admiten Signature Version 4, excepto Amazon SimpleDB, que
requiere Signature Version 2. Para los servicios de AWS que admiten ambas versiones, recomendamos
utilizar Signature Version 4.
Todas las regiones de AWS admiten Signature Version 4.
Version 1.0
107
Proceso de firma Signature Version 4
Proceso de firma Signature Version 4

Signature Version 4 es el proceso para añadir información de autenticación a las solicitudes de AWS. Por
seguridad, la mayoría de las solicitudes de AWS se firman con una clave de acceso, que se compone de
un ID de clave de acceso y una clave de acceso secreta.
Important
Cuando se utiliza AWS Command Line Interface (AWS CLI) o uno de los AWS SDK para realizar
solicitudes a AWS, estas herramientas firman automáticamente las solicitudes con la clave
de acceso especificada al configurar las herramientas. Si usa estas herramientas, no tiene
que aprender a firmar las solicitudes personalmente. Sin embargo, si crear manualmente las
solicitudes HTTP a AWS, debe firmarlas personalmente.
Funcionamiento de Signature Version 4
1. Se crea una solicitud canónica.

2. Se utiliza la solicitud canónica y otra información para crear una cadena para firmar.
3. Se utiliza la clave de acceso secreta de AWS para obtener una clave de firma y, a continuación, se
utilizan esa clave de firma y la cadena para firmar con el fin de crear una firma.
4. Se añade la firma resultante a la solicitud HTTP en un encabezado o como parámetro de cadena de
consulta.
Cuando AWS recibe la solicitud, lleva a cabo los mismos pasos realizados para calcular la firma. A
continuación, AWS compara la firma calculada con la que se ha enviado con la solicitud. Si las firmas
coinciden, la solicitud se procesa. Si las firmas no coinciden, la solicitud se deniega.
Para obtener más información, consulte los recursos siguientes:
• Para comenzar con el proceso de firma, consulte Firma de solicitudes de AWS con Signature Version
4 (p. 109).
• Para ver solicitudes firmadas de muestra, consulte Ejemplos del proceso completo de firma con
Signature Version 4 (Python) (p. 125).
• Si tiene dudas sobre Signature Version 4, publique su pregunta en el foro de AWS Identity and Access
Management.
Cambios de Signature Version 4

Signature Version 4 es el protocolo de firma de AWS actual. Incluye varios cambios respecto a la versión
anterior, Signature Version 2:
• Para firmar el mensaje, se utiliza una clave de firma generada a partir de la clave de acceso secreta, en
lugar de usar la propia clave de acceso secreta. Para obtener más información sobre la generación de
claves derivadas, consulte Tarea 3: Cálculo de la firma para AWS Signature Version 4 (p. 118).
• Puede obtener la clave de firma del ámbito de credenciales, lo que significa que no es necesario
incluir la clave en sí en la solicitud. El ámbito de credenciales se representa mediante una cadena de
dimensiones separadas por barras diagonales, en el orden que se indica a continuación:
1. La información de la fecha, mediante una cadena de ocho dígitos que representa el año (AAAA), el
mes (MM) y el día (DD) de la solicitud (por ejemplo, 20150830). Para obtener más información sobre el
control de fechas, consulte Control de fechas en Signature Version 4 (p. 122).
2. La información de la región, mediante una de caracteres alfanuméricos en minúscula. Utilice el
nombre de la región que forma parte del punto de conexión del servicio. En el caso de los servicios
con un punto de conexión único, como IAM, utilice us-east-1.
Version 1.0
108
Firma de solicitudes de AWS
3. La información del nombre del servicio, mediante una cadena de caracteres alfanuméricos en
minúscula (por ejemplo, iam). Utilice el nombre del servicio que forma parte del punto de conexión
del servicio. Por ejemplo, el punto de conexión de IAM es https://iam.amazonaws.com, de modo que
deberá usar la cadena iam como parte del parámetro Credential.
4. Una cadena de terminación especial: aws4_request.
• Se utiliza el ámbito de credenciales en cada tarea de firma:
• Si añade la información de firma a la cadena de consulta, incluya el ámbito de credenciales como
parte del parámetro X-Amz-Credential al crear la solicitud canónica en Tarea 1: Creación de una
solicitud canónica para Signature Version 4 (p. 111).
• Debe incluir el ámbito de credenciales como parte de su cadena para firmar en Tarea 2: Creación de
una cadena para firmar para Signature Version 4 (p. 117).
• Por último, se utilizan los componentes de fecha, región y nombre del servicio del ámbito de
credenciales para generar la clave de firma en Tarea 3: Cálculo de la firma para AWS Signature
Version 4 (p. 118).
Firma de solicitudes de AWS con Signature Version 4

En esta sección se explica cómo crear una firma y añadirla a una solicitud.
Temas
• Aspecto de una firma en una solicitud (p. 109)
• Solicitudes GET y POST en la API de consulta (p. 110)
• Resumen de pasos de firma (p. 110)
• Tarea 1: Creación de una solicitud canónica para Signature Version 4 (p. 111)
• Tarea 2: Creación de una cadena para firmar para Signature Version 4 (p. 117)
• Tarea 3: Cálculo de la firma para AWS Signature Version 4 (p. 118)
• Tarea 4: Adición de la información de firma a la solicitud (p. 120)
Aspecto de una firma en una solicitud

En el siguiente ejemplo se muestra el aspecto que puede tener una solicitud HTTPS enviada desde el
cliente a AWS, sin ninguna información de firma.
GET https://iam.amazonaws.com/?Action=ListUsers&Version=2010-05-08 HTTP/1.1

Content-Type: application/x-www-form-urlencoded; charset=utf-8
Host: iam.amazonaws.com
X-Amz-Date: 20150830T123600Z
Una vez completadas las tareas de firma, se añade la información de autenticación a la solicitud. Puede
añadir la información de autenticación de dos formas:
Encabezado Authorization
Puede añadir la información de autenticación a la solicitud con un encabezado Authorization. Aunque

el encabezado HTTP se denomina Authorization, en realidad se utiliza la información de firma para la
autenticación con el fin de determinar la procedencia de la solicitud.
El encabezado Authorization incluye la siguiente información:
• Algoritmo utilizado para firmar (AWS4-HMAC-SHA256)

• Ámbito de credenciales (con el ID de clave de acceso)
Version 1.0
109
• Lista de encabezados firmados

• Firma calculada. La firma se basa en la información de la solicitud y se usa la clave de acceso secreta
de AWS para generar la firma. La firma confirma su identidad a AWS.
En el siguiente ejemplo se muestra el aspecto que podría tener la solicitud anterior después de haber
creado la información de firma y habérsela añadido a la solicitud en el encabezado Authorization.
Tenga en cuenta que, en la solicitud real, el encabezado Authorization aparece como una línea de texto
continua. En el ejemplo siguiente, el formato se ha modificado para facilitar su legibilidad.

Authorization: AWS4-HMAC-SHA256
Credential=AKIDEXAMPLE/20150830/us-east-1/iam/aws4_request,
SignedHeaders=content-type;host;x-amz-date,
Signature=5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7
content-type: application/x-www-form-urlencoded; charset=utf-8
host: iam.amazonaws.com
x-amz-date: 20150830T123600Z
Cadena de consulta
En lugar de añadir la información de autenticación mediante un encabezado de solicitud HTTP, puede

incluirla en la cadena de consulta. La cadena de consulta contiene todo lo que forma parte de la solicitud,
incluidos el nombre y los parámetros de la acción, la fecha y la información de autenticación.
En el siguiente ejemplo se muestra cómo podría construir una solicitud GET con la acción y la información
de autenticación de la cadena de consulta.
(En la solicitud real, la cadena de consulta aparecería en una línea de texto continua. En el ejemplo
siguiente se le ha modificado el formato con saltos de línea para facilitar su legibilidad.)
GET https://iam.amazonaws.com?Action=ListUsers&Version=2010-05-08
&X-Amz-Algorithm=AWS4-HMAC-SHA256
&X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fus-east-1%2Fiam%2Faws4_request
&X-Amz-Date=20150830T123600Z
&X-Amz-Expires=60
&X-Amz-SignedHeaders=content-type%3Bhost
&X-Amz-Signature=37ac2f4fde00b0ac9bd9eadeb459b1bbee224158d66e7ae5fcadb70b2d181d02 HTTP/1.1
content-type: application/x-www-form-urlencoded; charset=utf-8
host: iam.amazonaws.com
Solicitudes GET y POST en la API de consulta

La API de consulta compatible con muchos servicios de AWS permite realizar solicitudes mediante los
métodos HTTP GET o POST. (En la API de consulta, puede utilizar GET incluso para solicitudes que cambian
el estado; es decir, la API de consulta no es intrínsecamente RESTful.) Dado que las solicitudes GET pasan
parámetros en la cadena de consulta, están limitados a la longitud máxima de una URL. Si una solicitud
incluye una carga grande (por ejemplo, en caso de cargar una política de IAM de gran tamaño o de enviar
muchos parámetros en formato JSON para una solicitud de DynamoDB), se suele utilizar una solicitud
POST.
El proceso de firma es el mismo para ambos tipos de solicitudes.
Resumen de pasos de firma

Para crear una solicitud firmada, lleve a cabo las tareas siguientes:
• Tarea 1: Creación de una solicitud canónica para Signature Version 4 (p. 111)
Version 1.0
110
Organice el contenido de la solicitud (host, acción, encabezados, etc.) en un formato estándar

(canónico). La solicitud canónica es uno de los datos de entrada utilizados con el fin de crear una
cadena para firmar.
• Tarea 2: Creación de una cadena para firmar para Signature Version 4 (p. 117)
Cree una cadena para firmar con la solicitud canónica e información adicional, como el algoritmo, la
fecha de la solicitud, el ámbito de credenciales y el resumen (hash) de la solicitud canónica.
• Tarea 3: Cálculo de la firma para AWS Signature Version 4 (p. 118)
Genere una clave de firma llevando a cabo una sucesión de operaciones hash con clave (operaciones
HMAC) en la fecha de la solicitud, la región y el servicio, con su clave de acceso secreta de AWS como
clave de la operación hash inicial. Una vez generada la clave de firma, se calcula la firma llevando a
cabo una operación hash con clave en la cadena para firmar. Utilice la clave de firma generada como
clave hash para esta operación.
• Tarea 4: Adición de la información de firma a la solicitud (p. 120)
Después de calcular la firma, añádasela a un encabezado HTTP o a la cadena de consulta de la

solicitud.
Note
Los AWS SDK controlan el proceso de cálculo de firmas automáticamente, para que no tenga que
llevarlo a cabo manualmente. Para obtener más información, consulte Herramientas para Amazon
Web Services.
Los siguientes recursos adicionales ilustran diversos aspectos del proceso de firma:
• Ejemplos de cómo generar una clave de firma para Signature Version 4 (p. 122). Esta página muestra
cómo generar una clave de firma mediante Java, C#, Python, Ruby y JavaScript.
• Ejemplos del proceso completo de firma con Signature Version 4 (Python) (p. 125). Este conjunto de
programas en Python proporciona completos ejemplos del proceso de firma. En los ejemplos se ilustra
la firma con una solicitud POST, una solicitud GET que tiene la información de firma en un encabezado de
solicitud y una solicitud GET que tiene la información de firma en la cadena de consulta.
• Conjunto de pruebas de Signature Version 4 (p. 132). Este paquete descargable contiene una
colección de ejemplos que incluyen información de firma para los diversos pasos del proceso de firma.
Puede utilizar estos ejemplos para comprobar si su código de firma genera los resultados correctos en
cada paso del proceso.
Tarea 1: Creación de una solicitud canónica para Signature

Version 4
Para iniciar el proceso de firma, cree una cadena que incluya información de su solicitud en un formato
estandarizado (canónico). Esto garantiza que, cuando AWS reciba la solicitud, pueda calcular la misma
firma que usted ha calculado.
Siga los pasos que se indican a continuación para crear una versión canónica de la solicitud. De lo
contrario, su versión y la versión calculada por AWS no coincidirán y la solicitud se denegará.
En el siguiente ejemplo se muestra el pseudocódigo para crear una solicitud canónica.
Example Pseudocódigo de una solicitud canónica
CanonicalRequest =
HTTPRequestMethod + '\n' +
Version 1.0
111
CanonicalURI + '\n' +
CanonicalQueryString + '\n' +
CanonicalHeaders + '\n' +
SignedHeaders + '\n' +
HexEncode(Hash(RequestPayload))
En este pseudocódigo, Hash representa una función que produce un resumen del mensaje, que suele
ser SHA-256. Más adelante en el proceso, se especifica qué algoritmo hash se utiliza. HexEncode
representa una función que devuelve la codificación en base 16 del resumen en minúsculas. Por ejemplo,
HexEncode("m") devuelve el valor 6d en lugar de 6D. Cada byte de entrada debe representarse mediante
exactamente dos caracteres hexadecimales.
Signature Version 4 no requiere el uso de una codificación de caracteres determinada para codificar la
solicitud canónica. Sin embargo, algunos servicios de AWS podrían necesitar una codificación específica.
Para obtener más información, consulte la documentación correspondiente a dicho servicio.
En los siguientes ejemplos se muestra cómo construir la forma canónica de una solicitud a IAM. La
solicitud original puede tener un aspecto como el siguiente al enviarla envían desde el cliente a AWS, salvo
que en este ejemplo no se incluye todavía la información de firma.
Example Ejemplo de solicitud

X-Amz-Date: 20150830T123600Z
La solicitud del ejemplo anterior es una solicitud GET (método) que realiza una llamada de la API
ListUsers (acción) a AWS Identity and Access Management (host). Esta acción toma el parámetro
Version.
Para crear una solicitud canónica, concatene los siguientes componentes de cada paso en una
misma cadena:
1. Comience con el método de solicitud HTTP (GET, PUT, POST, etc.), seguido de un carácter de nueva
línea.
Example Ejemplo de método de solicitud
GET
2. Añada el parámetro de URI canónico, seguido de un carácter de nueva línea. El URI canónico es la
versión codificada según las normas de los URI del componente de ruta absoluta del URI, que es todo
lo que contiene el URI desde el host HTTP hasta el signo de interrogación (“?”), donde comienzan los
parámetros de la cadena de consulta (si los hay).
Normalice las rutas URI de conformidad con RFC 3986. Quite los componentes redundantes y
relativos de las rutas. Cada segmento de la ruta debe codificarse según las normas de los URI.
Example Ejemplo de URI canónico con codificación
/documents%20and%20settings/
Note
La excepción son las rutas URI de las solicitudes a Amazon S3, que no se normalizan. Por
ejemplo, si tiene un bucket con un objeto denominado my-object//example//photo.user,
Version 1.0
112
utilice esa ruta. Si normaliza la ruta a my-object/example/photo.user, la solicitud fallará.

Para obtener más información, consulte Tarea 1: Crear una solicitud canónica en la Amazon
Simple Storage Service API Reference.
Si la ruta absoluta está vacía, utilice una barra diagonal (/). En el ejemplo de solicitud a IAM, no hay
nada después del host en el URI, por lo que la ruta absoluta está vacía.
Example Ejemplo de URI canónico
3. Añada la cadena de consulta canónica, seguida de un carácter de nueva línea. Si la solicitud no

incluye una cadena de consulta, utilice una cadena vacía (básicamente, una línea en blanco). En el
ejemplo de solicitud se utiliza la siguiente cadena de consulta.
Example Ejemplo de cadena de consulta canónica
Action=ListUsers&Version=2010-05-08
Para construir la cadena de consulta canónica, siga los pasos que se describen a continuación:
a. Ordene los nombres de los parámetros en orden ascendente según el punto del código de
caracteres. Por ejemplo, un nombre de parámetro que comienza por la letra mayúscula F precede
a un nombre de parámetro que empieza por la letra minúscula b.
b. Codifique según las normas de los URI cada valor y nombre de parámetro, aplicando las reglas
siguientes:
• No codifique según las normas de los URI ninguno de los caracteres no reservados definidos
en la norma RFC 3986: A-Z, a-z, 0-9, guion (-), guion bajo (_), punto (. ) y tilde (~).
• Codifique con signos de porcentaje el resto de los caracteres con %XY, donde X e Y son
caracteres hexadecimales (0-9 y A-F mayúsculas). Por ejemplo, el carácter de espacio debe
codificarse como %20 (no mediante el signo “+” como en algunos esquemas de codificación) y
los caracteres extendidos UTF-8 deben indicarse con el formato %XY%ZA%BC.
c. Cree la cadena de consulta canónica empezando por el primer nombre de parámetro de la lista
ordenada.
d. Para cada parámetro, añada el nombre de parámetro codificado según las normas de los URI,
seguido por el signo igual (=) y, a continuación, del valor del parámetro codificado según las
normas de los URI. Utilice una cadena vacía para los parámetros que no tienen valor.
e. Añada el carácter ampersand (&) después de cada valor de parámetro, excepto para el último
valor de la lista.
Una opción para la API de consulta consiste en insertar en la cadena de consulta todos los parámetros
de la solicitud. Por ejemplo, puede hacerlo en Amazon S3 para crear una URL prefirmada. En ese
caso, la cadena de consulta canónica debe incluir no solo los parámetros de la solicitud, sino también
los parámetros que se utilizan en el proceso de firma: el algoritmo hash, el ámbito de credenciales, la
fecha y los parámetros de los encabezados firmados.
En el siguiente ejemplo se muestra una cadena de consulta que incluye información de autenticación.
Aunque el ejemplo incluye saltos de línea para facilitar su legibilidad, en el código la cadena de
consulta canónica debe ser una línea continua de texto.
Example Ejemplo de parámetros de autenticación en una cadena de consulta
Action=ListUsers&
Version=2010-05-08& Version 1.0
113
X-Amz-Algorithm=AWS4-HMAC-SHA256&
X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fus-east-1%2Fiam%2Faws4_request&
X-Amz-Date=20150830T123600Z&
X-Amz-SignedHeaders=content-type%3Bhost%3Bx-amz-date
Para obtener más información acerca de los parámetros de autenticación, consulte Tarea 2: Creación
de una cadena para firmar para Signature Version 4 (p. 117).
Note
Puede utilizar credenciales de seguridad temporales proporcionadas por AWS Security

Token Service (AWS STS) para firmar una solicitud. El proceso es el mismo que con las
credenciales a largo plazo, pero al añadir la información de firma a la cadena de consulta
debe añadir un parámetro de consulta adicional para el token de seguridad. El nombre del
parámetro es X-Amz-Security-Token y su valor es el token de la sesión (la cadena que
recibió de AWS STS al obtener las credenciales de seguridad temporales) codificado según
las normas de los URI.
Para algunos servicios, es preciso incluir el parámetro de consulta X-Amz-Security-
Token en la cadena de consulta canónica (firmada). Para otros servicios, el parámetro X-
Amz-Security-Token se añade al final, después de calcular la firma. Para obtener más
información, consulte la documentación de referencia de la API correspondiente a dicho
servicio.
4. Añada los encabezados canónicos seguidos de un carácter de nueva línea. Los encabezados
canónicos se componen de una lista de todos los encabezados HTTP que se incluyen con la solicitud
firmada.
Como mínimo, se debe incluir el encabezado host. Los encabezados estándar como content-type
son opcionales. Los distintos servicios pueden requerir otros encabezados.
Example Ejemplo de encabezados canónicos
content-type:application/x-www-form-urlencoded; charset=utf-8\n
host:iam.amazonaws.com\n
x-amz-date:20150830T123600Z\n
Para crear la lista de encabezados canónicos, convierta todos los nombres de encabezado a
minúsculas y elimine los espacios anteriores y posteriores. Convierta cada grupo de varios espacios
seguidos del valor del encabezado en un único espacio.
En el pseudocódigo siguiente se describe cómo construir la lista de encabezados canónicos:
CanonicalHeaders =
CanonicalHeadersEntry0 + CanonicalHeadersEntry1 + ... + CanonicalHeadersEntryN
CanonicalHeadersEntry =
Lowercase(HeaderName) + ':' + Trimall(HeaderValue) + '\n'
Lowercase representa una función que convierte todos los caracteres a minúsculas. La función
Trimall elimina los espacios en blanco sobrantes que hay antes y después de los valores y convierte
cada grupo de varios espacios seguidos en un único espacio.
Cree la lista de encabezados canónicos ordenando los encabezados (en minúscula) según el código
de caracteres y, a continuación, recorriendo en iteración los nombres de encabezado. Cree cada
encabezado de acuerdo con las reglas siguientes:
• Añada el nombre de encabezado en minúsculas seguido de un signo de dos puntos.

• Añada una lista de valores separados por comas para ese encabezado. No ordene los valores de
los encabezados que tienen múltiples valores.
Version 1.0
114
• Añada una nueva línea ('\n').
En los siguientes ejemplos se compara un conjunto de encabezados más complejos con su forma
canónica:
Example Encabezados originales
Host:iam.amazonaws.com\n
Content-Type:application/x-www-form-urlencoded; charset=utf-8\n
My-header1: a b c \n
X-Amz-Date:20150830T123600Z\n
My-Header2: "a b c" \n
Example Forma canónica
content-type:application/x-www-form-urlencoded; charset=utf-8\n
host:iam.amazonaws.com\n
my-header1:a b c\n
my-header2:"a b c"\n
x-amz-date:20150830T123600Z\n
Note
Cada encabezado va seguido de un carácter de nueva línea, lo que significa que la lista
completa termina con un carácter de nueva línea.
En la forma canónica, se han realizado los siguientes cambios:
• Los nombres de encabezado se han convertido a minúsculas.

• Los encabezados se han ordenado según el código de caracteres.
• Los espacios anteriores y posteriores se han eliminado de los valores my-header1 y my-header2.
• Cada grupo de varios espacios seguidos de a b c se han convertido en un único espacio en los
valores my-header1 y my-header2.
Note
Puede utilizar credenciales de seguridad temporales proporcionadas por AWS Security

Token Service (AWS STS) para firmar una solicitud. Aunque el proceso es el mismo que
cuando se usan credenciales a largo plazo, cuando se incluye la información de firma en el
encabezado Authorization es preciso añadir un encabezado HTTP adicional para el token
de seguridad. El nombre de encabezado es X-Amz-Security-Token y el valor del encabezado
es el token de sesión (la cadena que le envió AWS STS al obtener las credenciales de
seguridad temporales).
5. Añada los encabezados firmados seguidos de un carácter de nueva línea. Este valor es la lista de
encabezados que ha incluido en los encabezados canónicos. Al añadir esta lista de encabezados,
está indicando a AWS qué encabezados de la solicitud forman parte del proceso de firma y cuáles
AWS puede pasar por alto (por ejemplo, todos los encabezados adicionales que un proxy haya
añadido) con el fin de validar la solicitud.
El encabezado host debe incluirse necesariamente como encabezado firmado. Si incluye una fecha
o un encabezado x-amz-date, también debe incluir ese encabezado en la lista de encabezados
firmados.
Para crear la lista de encabezados firmados,

Versionconvierta
1.0 todos los nombres de encabezado a
minúsculas, ordénelos según el código de115caracteres y utilizar un signo de punto y coma para separar
los nombres de encabezado. En el siguiente pseudocódigo se describe cómo crear una lista de
encabezados firmados. Lowercase representa una función que convierte todos los caracteres a
minúsculas.
SignedHeaders =
Lowercase(HeaderName0) + ';' + Lowercase(HeaderName1) + ";" + ... +
Lowercase(HeaderNameN)
Cree la lista de encabezados firmados recorriendo en iteración la colección de nombres de

encabezado ordenados según el código de caracteres en minúscula. Para cada nombre de
encabezado, salvo el último, añada un signo de punto y coma (“;”) al nombre de encabezado, con el
fin de separarlo del anterior.
Example Ejemplo de encabezados firmados
content-type;host;x-amz-date\n
6. Utilice un resumen (hash) como SHA256 para crear un valor hash de la carga en el cuerpo de la
solicitud HTTP o HTTPS. Signature Version 4 no requiere el uso de una codificación de caracteres
determinada para codificar el texto de la carga. Sin embargo, algunos servicios de AWS podrían
necesitar una codificación específica. Para obtener más información, consulte la documentación
correspondiente a dicho servicio.
Example Estructura de la carga
HashedPayload = Lowercase(HexEncode(Hash(requestPayload)))
Al crear la cadena para firmar, debe especificar el algoritmo de firma que utilizó para resumir la carga.
Por ejemplo, si utilizó SHA256, debe especificar AWS4-HMAC-SHA256 como algoritmo de firma. La
carga resumida se debe representar como una cadena hexadecimal en minúsculas.
Si la carga está vacía, utilice una cadena vacía como entrada para la función hash. En el ejemplo de
IAM, la carga está vacía.
Example Ejemplo de carga resumida (cadena vacía)
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
7. Para crear la solicitud canónica terminado, combine todos los componentes de cada paso en una
misma cadena. Tal y como se ha mencionado, cada componente finaliza con un carácter de nueva
línea. Si sigue el pseudocódigo de la solicitud canónica explicado anteriormente, la solicitud canónica
resultante es la que se muestra en el siguiente ejemplo.
Example Ejemplo de solicitud canónica
GET
/
Action=ListUsers&Version=2010-05-08
content-type:application/x-www-form-urlencoded; charset=utf-8
host:iam.amazonaws.com
x-amz-date:20150830T123600Z
content-type;host;x-amz-date
8. Cree un resumen (hash) de la solicitud canónica con el mismo algoritmo que utilizó para resumir la
carga.
Version 1.0
116
Note
Signature Version 4 no requiere el uso de una codificación de caracteres determinada para
codificar la solicitud canónica antes de calcular el resumen. Sin embargo, algunos servicios
de AWS podrían necesitar una codificación específica. Para obtener más información,
consulte la documentación correspondiente a dicho servicio.
La solicitud canónica resumida debe representarse mediante una cadena de caracteres

hexadecimales en minúsculas. En el siguiente ejemplo se muestra el resultado de usar SHA-256 para
resumir la solicitud canónica del ejemplo.
Example Ejemplo de solicitud canónica resumida
f536975d06c0309214f805bb90ccff089219ecd68b2577efef23edd43b7e1a59
La solicitud canónica resumida se incluye como parte de la cadena para firmar en Tarea 2: Creación
de una cadena para firmar para Signature Version 4 (p. 117).
Tarea 2: Creación de una cadena para firmar para Signature

Version 4
La cadena para firmar incluye metainformación sobre su solicitud y sobre la solicitud canónica que ha
creado en Tarea 1: Creación de una solicitud canónica para Signature Version 4 (p. 111). Vamos a
usar la cadena para firmar y una clave de firma generada que creará más adelante como información de
entrada para calcular la firma de la solicitud en Tarea 3: Cálculo de la firma para AWS Signature Version
4 (p. 118).
Para crear la cadena para firmar, concatene el algoritmo, la fecha y la hora, el ámbito de credenciales y el
resumen de la solicitud canónica, tal y como se muestra en el siguiente pseudocódigo:
Estructura de la cadena para firmar
StringToSign =
Algorithm + \n +
RequestDateTime + \n +
CredentialScope + \n +
HashedCanonicalRequest
En el siguiente ejemplo se muestra cómo crear la cadena para firmar con la misma solicitud de la Tarea 1:
Creación de una solicitud canónica (p. 111).
Example Ejemplo de solicitud HTTPS

X-Amz-Date: 20150830T123600Z
Para crear la cadena para firmar
1. Comience con la designación del algoritmo, seguida de un carácter de nueva línea. Este valor es el
algoritmo hash que se utiliza para calcular los resúmenes en la solicitud canónica. Para SHA256, el
algoritmo es AWS4-HMAC-SHA256.
AWS4-HMAC-SHA256\n
Version 1.0
117
2. Añada el valor de fecha de la solicitud, seguido de un carácter de nueva línea. La fecha se especifica
en el encabezado x-amz-date con el formato básico ISO8601: AAAAMMDD'T'HHMMSS'Z'. Este valor
debe coincidir con el valor que se haya utilizado en los pasos anteriores.
20150830T123600Z\n
3. Añada el valor del ámbito de credenciales, seguido de un carácter de nueva línea. Este valor es una
cadena que incluye la fecha, la región de destino, el servicio solicitado y una cadena de terminación
(“aws4_request”) en minúsculas. Las cadenas de región y nombre de servicio deben codificarse según
UTF-8.
20150830/us-east-1/iam/aws4_request\n
• La fecha debe tener el formato YYYYMMDD. Tenga en cuenta que la fecha no incluye un valor de hora.
• Compruebe que la región especificada sea la región a la que vaya a enviar la solicitud. Consulte
Regiones y puntos de conexión de AWS (p. 2).
4. Añada el hash de la solicitud canónica que creó en Tarea 1: Creación de una solicitud canónica para
Signature Version 4 (p. 111). Este valor no va seguido de un carácter de nueva línea. La solicitud
canónica resumida debe codificarse en base 16 y en minúsculas, tal y como se define en la Sección 8
de RFC 4648.
La cadena para firmar siguiente es una solicitud a IAM del 30 de agosto de 2015.
Example Ejemplo de cadena para firmar
AWS4-HMAC-SHA256
20150830T123600Z
20150830/us-east-1/iam/aws4_request
Tarea 3: Cálculo de la firma para AWS Signature Version 4

Antes de calcular una firma, se genera una clave de firma a partir de su clave de acceso secreta de
AWS. Habida cuenta de que la clave de firma generada es específica de la fecha, el servicio y la región
especificados, ofrece un mayor grado de protección. No solo se usa su clave de acceso secreta para
firmar la solicitud. A continuación, se utilizan la clave de firma y la cadena para firmar creadas en Tarea 2:
Creación de una cadena para firmar para Signature Version 4 (p. 117) como información de entrada de
una función de hash con clave. El resultado codificado en hexadecimal de la función hash con clave es la
firma.
Signature Version 4 no requiere el uso de una codificación de caracteres determinada para codificar la
cadena para firmar. Sin embargo, algunos servicios de AWS podrían necesitar una codificación específica.
Para obtener más información, consulte la documentación correspondiente a dicho servicio.
Para calcular una firma
1. Genere la clave de firma. Para ello, utilice la clave de acceso secreta con el fin de crear una serie de
códigos de autenticación de mensajes basados en hash (HMAC). Esto se ilustra en el pseudocódigo
siguiente, donde HMAC(key, data) representa una función HMAC-SHA256 que devuelve un resultado
en formato binario. El resultado de cada función hash se convierte en información de entrada para la
siguiente.
Pseudocódigo para generar una clave de firma
Version 1.0
118
kSecret = your secret access key

kDate = HMAC("AWS4" + kSecret, Date)
kRegion = HMAC(kDate, Region)
kService = HMAC(kRegion, Service)
kSigning = HMAC(kService, "aws4_request")
Tenga en cuenta que la fecha utilizada en el proceso de creación del resumen hash está en el formato
YYYYMMDD (por ejemplo, 20150830) y no incluye la hora.
Asegúrese de especificar los parámetros de HMAC en el orden correcto para el lenguaje de

programación que esté utilizando. En este ejemplo se muestra la clave como el primer parámetro y los
datos (mensaje) como el segundo parámetro, pero la función utilizada podría especificar la clave y los
datos en un orden diferente.
Utilice el resumen (formato binario) para generar la clave. La mayoría de lenguajes presentan
funciones para calcular un hash en formato binario (que suele denominarse resumen) o un hash en
codificación hexadecimal (que se denomina resumen o hash hexadecimal). Para generar la clave es
preciso utilizar un resumen en formato binario.
En el siguiente ejemplo se muestran los datos de entrada para generar una clave de firma y el
resultado obtenido, donde kSecret = wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY.
En el ejemplo se utilizan los mismos parámetros de la solicitud de las tareas 1 y 2 (una solicitud a IAM
en la región us-east-1 el 30 de agosto de 2015).
Ejemplos de información de entrada
HMAC(HMAC(HMAC(HMAC("AWS4" + kSecret,"20150830"),"us-east-1"),"iam"),"aws4_request")
En el siguiente ejemplo se muestra la clave de firma generada resultante de esta secuencia de

operaciones hash HMAC. Se muestra la representación hexadecimal de cada byte binario en la clave
de firma binaria.
Ejemplo de clave de firma
c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9
Para obtener más información sobre cómo generar una clave de firma en diferentes lenguajes
de programación, consulte Ejemplos de cómo generar una clave de firma para Signature Version
4 (p. 122).
2. Calcule la firma. Para ello, utilice la clave de firma generada y la cadena para firmar como información
de entrada para la función hash con clave. Después de calcular la firma, convierta el valor binario en
una representación hexadecimal.
En el pseudocódigo siguiente se ilustra cómo calcular la firma.
signature = HexEncode(HMAC(derived signing key, string to sign))
En el siguiente ejemplo se muestra la firma resultante si se utilizan las mismas clave de firma y cadena
para firmar de la tarea 2:
Ejemplo de firma
5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7
Version 1.0
119
Tarea 4: Adición de la información de firma a la solicitud

Después de calcular la firma, esta se añade a la solicitud. Puede añadir la información de firma a una
solicitud de una de las dos formas siguientes:
• En un encabezado HTTP denominado Authorization

• En la cadena de consulta
No puede pasar la información de firma en el encabezado Authorization y también en la cadena de

consulta.
Note
Puede utilizar credenciales de seguridad temporales proporcionadas por AWS Security Token
Service (AWS STS) para firmar una solicitud. El proceso es el mismo que cuando se usan
credenciales a largo plazo, pero requiere un parámetro adicional de encabezado HTTP o de
cadena de consulta para el token de seguridad. El nombre del parámetro de encabezado o de
cadena de consulta es X-Amz-Security-Token y el valor es el token de sesión (la cadena que le
envió AWS STS al obtener las credenciales de seguridad temporales).
Cuando el parámetro X-Amz-Security-Token se añade a la cadena de consulta, algunos servicios
requieren que este se incluya en la solicitud canónica (firmada). Para otros servicios, el parámetro
se añade al final, después de calcular la firma. Para obtener más información, consulte la
documentación de referencia de la API correspondiente a dicho servicio.
Adición de la información de firma al encabezado Authorization

Puede incluir la información de firma añadiéndolo a un encabezado HTTP denominado Authorization.
El contenido del encabezado se crea después de calcular la firma tal y como se describe en los pasos
anteriores, por lo que el encabezado Authorization no está incluido en la lista de encabezados firmados.
Aunque el encabezado se denomina Authorization, en realidad la información de firma se utiliza para la
autenticación.
En el pseudocódigo siguiente se ilustra la creación del encabezado Authorization.
Authorization: algorithm Credential=access key ID/credential scope,

SignedHeaders=SignedHeaders, Signature=signature
En el siguiente ejemplo se muestra un encabezado Authorization terminado.
Authorization: AWS4-HMAC-SHA256
Credential=AKIDEXAMPLE/20150830/us-east-1/iam/aws4_request,
SignedHeaders=content-type;host;x-amz-date,
Signature=5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7
Tenga en cuenta lo siguiente:
• No hay ninguna coma entre el algoritmo y Credential. Sin embargo, SignedHeaders y Signature sí
están separados de los valores anteriores con una coma.
• El valor Credential valor comienza con el ID de clave de acceso, que va seguido por una barra diagonal
(/), tras la cual figura el ámbito de credenciales calculado en Tarea 2: Creación de una cadena para
firmar para Signature Version 4 (p. 117). La clave de acceso secreta se utiliza para generar la clave de
firma para la firma, pero no se incluye en la información de firma enviada en la solicitud.
Version 1.0
120
Adición de la información de firma a la cadena de consulta

Puede realizar solicitudes y pasar todos los valores de solicitud en la cadena de consulta, incluida la
información de firma. Esto es lo que a veces se denomina una URL prefirmada, ya que produce una
única dirección URL con todo lo necesario para realizar una llamada a AWS correcta. Se suele utilizar en
Amazon S3. Para obtener más información, consulte Authenticating Requests by Using Query Parameters
(AWS Signature Version 4) en la Amazon Simple Storage Service API Reference.
Important
Si realiza una solicitud en la cual todos los parámetros están incluidos en la cadena de consulta,
la URL resultante representa una acción de AWS que ya está autenticada. Por lo tanto, esta
URL resultante debe tratarse con la misma precaución que aplica a sus auténticas credenciales.
Recomendamos especificar un plazo de caducidad breve para la solicitud mediante el parámetro
X-Amz-Expires.
Cuando se utiliza este enfoque, todos los valores de la cadena de consulta (excepto la firma) se incluyen
en la cadena de consulta canónica que forma parte de la consulta canónica creada en la primera parte del
proceso de firma (p. 111).
En el pseudocódigo siguiente se ilustra la creación de una cadena de consulta que contiene todos los
parámetros de solicitud.
querystring = Action=action
querystring += &X-Amz-Algorithm=algorithm
querystring += &X-Amz-Credential= urlencode(access_key_ID + '/' + credential_scope)
querystring += &X-Amz-Date=date
querystring += &X-Amz-Expires=timeout interval
querystring += &X-Amz-SignedHeaders=signed_headers
Una vez calculada la firma (usando el resto de los valores de cadena de consulta para dicho cálculo), se
añade la firma a la cadena de consulta mediante el parámetro X-Amz-Signature:
querystring += &X-Amz-Signature=signature
En el siguiente ejemplo se muestra el aspecto que podría tener la solicitud si todos los parámetros de
solicitud y la información de firma se incluyen en parámetros de cadena de consulta.
https://iam.amazonaws.com?Action=ListUsers&Version=2010-05-08
&X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fus-east-1%2Fiam%2Faws4_request
&X-Amz-Date=20150830T123600Z
&X-Amz-Expires=60
&X-Amz-SignedHeaders=content-type%3Bhost
&X-Amz-Signature=37ac2f4fde00b0ac9bd9eadeb459b1bbee224158d66e7ae5fcadb70b2d181d02
Tenga en cuenta lo siguiente:
• Para calcular la firma, los parámetros de cadena de consulta deben colocarse en orden ascendente
según el punto del código de caracteres y sus valores se deben codificar según las normas de los URI.
Consulte el paso de creación de una cadena de consulta canónica en Tarea 1: Creación de una solicitud
canónica para Signature Version 4 (p. 111).
• Especifique el intervalo de tiempo de espera (X-Amz-Expires) en el mínimo tiempo viable para la
operación solicitada.
Version 1.0
121
Control de fechas
Control de fechas en Signature Version 4

La fecha que se usa como parte de su ámbito de credenciales debe coincidir con la fecha de su solicitud.
Puede incluir la fecha como parte de su solicitud de varias formas. Puede utilizar un encabezado date,
un encabezado x-amz-date o incluir x-amz-date como parámetro de consulta. Para obtener ejemplos de
solicitudes, consulte Ejemplos del proceso completo de firma con Signature Version 4 (Python) (p. 125).
La marca de tiempo debe estar en UTC y en el formato ISO 8601 siguiente: AAAAMMDD'T'HHMMSS'Z'.
Por ejemplo, 20150830T123600Z es una marca de tiempo válida. No incluya milisegundos en la marca de
tiempo.
AWS comprueba primero el encabezado o parámetro x-amz-date por si contienen una marca de
tiempo. Si AWS no encuentra un valor de x-amz-date, busca el encabezado date. A continuación, AWS
comprueba el ámbito de credenciales por si contiene una cadena de ocho dígitos que represente el año
(AAAA), el mes (MM) y el día (DD) de la solicitud. Por ejemplo, si el valor del encabezado x-amz-date es
20111015T080000Z y el componente de fecha del ámbito de credenciales es 20111015, AWS permite que el
proceso de autenticación continúe.
Si las fechas no coinciden, AWS rechaza la solicitud, aunque la marca de tiempo solo se diferencie por
unos segundos de la fecha del ámbito de credenciales. Por ejemplo, AWS rechazará una solicitud cuyo
valor del encabezado x-amz-date sea 20151014T235959Z y cuyo ámbito de credenciales contenga la fecha
20151015.
Ejemplos de cómo generar una clave de firma para

Signature Version 4
En esta página se muestran ejemplos en varios lenguajes de programación sobre cómo generar una clave
de firma para Signature Version 4. En los ejemplos que aparecen en esta página se muestra únicamente
cómo generar una clave de firma, que es solo una parte de la firma de solicitudes de AWS. Para ver
ejemplos en los que se muestra el proceso completo, consulte Ejemplos del proceso completo de firma con
Signature Version 4 (Python) (p. 125).
Note
Si utiliza uno de los AWS SDK (incluidos los de SDK para Java, .NET, Python, Ruby o
JavaScript), no tiene que realizar manualmente los pasos para generar una clave de
firma y añadir la información de autenticación a una solicitud. Los SDK realizan esta labor
automáticamente. Solo deberá firmar manualmente las solicitudes si realiza las solicitudes HTTP
o HTTPS directamente.
Temas
• Generación de la clave de firma con Java (p. 122)
• Generación de la clave de firma con .NET (C#) (p. 123)
• Generación de la clave de firma con Python (p. 123)
• Generación de la clave de firma con Ruby (p. 123)
• Generación de la clave de firma con JavaScript (p. 124)
• Generación de la clave de firma con otros lenguajes (p. 124)
• Errores de codificación comunes (p. 124)
Generación de la clave de firma con Java

static byte[] HmacSHA256(String data, byte[] key) throws Exception {
String algorithm="HmacSHA256";
Mac mac = Mac.getInstance(algorithm);
Version 1.0
122
Ejemplos de cómo generar una clave de firma
mac.init(new SecretKeySpec(key, algorithm));

return mac.doFinal(data.getBytes("UTF8"));
}
static byte[] getSignatureKey(String key, String dateStamp, String regionName, String

serviceName) throws Exception {
byte[] kSecret = ("AWS4" + key).getBytes("UTF8");
byte[] kDate = HmacSHA256(dateStamp, kSecret);
byte[] kRegion = HmacSHA256(regionName, kDate);
byte[] kService = HmacSHA256(serviceName, kRegion);
byte[] kSigning = HmacSHA256("aws4_request", kService);
return kSigning;
}
Generación de la clave de firma con .NET (C#)

static byte[] HmacSHA256(String data, byte[] key)
{
String algorithm = "HmacSHA256";
KeyedHashAlgorithm kha = KeyedHashAlgorithm.Create(algorithm);
kha.Key = key;
return kha.ComputeHash(Encoding.UTF8.GetBytes(data));
}
static byte[] getSignatureKey(String key, String dateStamp, String regionName, String

serviceName)
{
byte[] kSecret = Encoding.UTF8.GetBytes(("AWS4" + key).ToCharArray());
byte[] kDate = HmacSHA256(dateStamp, kSecret);
byte[] kRegion = HmacSHA256(regionName, kDate);
byte[] kService = HmacSHA256(serviceName, kRegion);
byte[] kSigning = HmacSHA256("aws4_request", kService);
return kSigning;
}
Generación de la clave de firma con Python

def sign(key, msg):
return hmac.new(key, msg.encode("utf-8"), hashlib.sha256).digest()
def getSignatureKey(key, dateStamp, regionName, serviceName):

kDate = sign(("AWS4" + key).encode("utf-8"), dateStamp)
kRegion = sign(kDate, regionName)
kService = sign(kRegion, serviceName)
kSigning = sign(kService, "aws4_request")
return kSigning
Generación de la clave de firma con Ruby

def getSignatureKey key, dateStamp, regionName, serviceName
kDate = OpenSSL::HMAC.digest('sha256', "AWS4" + key, dateStamp)
kRegion = OpenSSL::HMAC.digest('sha256', kDate, regionName)
kService = OpenSSL::HMAC.digest('sha256', kRegion, serviceName)
kSigning = OpenSSL::HMAC.digest('sha256', kService, "aws4_request")
kSigning
end
Version 1.0
123
Ejemplos de cómo generar una clave de firma
Generación de la clave de firma con JavaScript

En el siguiente ejemplo se utiliza la biblioteca crypto-js. Para obtener más información, consulte https://
www.npmjs.com/package/crypto-js y https://code.google.com/archive/p/crypto-js/.
var crypto = require("crypto-js");
function getSignatureKey(Crypto, key, dateStamp, regionName, serviceName) {

var kDate = Crypto.HmacSHA256(dateStamp, "AWS4" + key);
var kRegion = Crypto.HmacSHA256(regionName, kDate);
var kService = Crypto.HmacSHA256(serviceName, kRegion);
var kSigning = Crypto.HmacSHA256("aws4_request", kService);
return kSigning;
}
Generación de la clave de firma con otros lenguajes

Si desea implementar esta lógica en otro lenguaje de programación, le recomendamos probar los pasos
intermedios del algoritmo de generación de clave respecto a los valores en esta sección. En el siguiente
ejemplo en Ruby se imprime el resultado mediante la función hexEncode después de cada paso del
algoritmo.
def hexEncode bindata

result=""
data=bindata.unpack("C*")
data.each {|b| result+= "%02x" % b}
result
end
Dada la siguiente información de prueba:
key = 'wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY'
dateStamp = '20120215'
regionName = 'us-east-1'
serviceName = 'iam'
El programa debería generar los siguientes valores para los valores de getSignatureKey. Tenga en cuenta
que se trata de representaciones en codificación hexadecimal de los datos binarios; la clave en sí y los
valores intermedios deben estar en formato binario.
kSecret =
'41575334774a616c725855746e46454d492f4b374d44454e472b62507852666943594558414d504c454b4559'
kDate = '969fbb94feb542b71ede6f87fe4d5fa29c789342b0f407474670f0c2489e0a0d'
kRegion = '69daa0209cd9c5ff5c8ced464a696fd4252e981430b10e3d3fd8e2f197d7a70c'
kService = 'f72cfd46f26bc4643f06a11eabb6c0ba18780c19a8da0c31ace671265e3c87fa'
kSigning = 'f4780e2d9f65fa895f9c67b32ce1baf0b0d8a43505a000a1a9e090d414db404d'
Errores de codificación comunes

Para simplificar su tarea, evite los siguientes errores de codificación comunes.
Tip
Examine la solicitud HTTP que va a enviar a AWS con una herramienta que le muestre el aspecto
de las solicitudes HTTP sin procesar. Esto puede ayudarle a identificar problemas que no resulten
evidentes en el código.
Version 1.0
124
Ejemplos de firma (Python)
• No incluya caracteres de nueva línea de más ni se olvide de insertarlos donde se requieren.

• No formatee la fecha de forma incorrecta en el ámbito de credenciales; por ejemplo, no utilice una marca
de tiempo en lugar del formato AAAAMMDD.
• Asegúrese de que los encabezados de los encabezados canónicos y los encabezados firmados sean
iguales.
• No intercambie inadvertidamente la clave y los datos (mensaje) al calcular las claves intermedias. El
resultado del cálculo del paso anterior es la clave, no los datos. Consulte atentamente la documentación
de las primitivas criptográficas para asegurarse de colocar los parámetros en el orden correcto.
• No olvide añadir la cadena “AWS4” delante de la clave para el primer paso. Si implementa la generación
de la clave utilizando un bucle o función de iteración for, no olvide de crear un caso especial para la
primera iteración de forma que incluya la cadena “AWS4”.
Para obtener más información acerca de posibles errores, consulte Solución de errores en AWS Signature
Version 4 (p. 134).
Ejemplos del proceso completo de firma con Signature

Version 4 (Python)
En esta sección se muestran ejemplos de programas escritos en Python que ilustran cómo trabajar con
Signature Version 4 en AWS. Hemos escrito deliberadamente estos programas de ejemplo de modo que
sean sencillos (con pocas funciones específicas de Python) para que resulte más fácil comprender el
proceso global de firmar solicitudes de AWS.
Para trabajar con estos programas de ejemplo, se necesita lo siguiente:
• Python 2.x instalado en el equipo; puede obtenerlo en el sitio de Python. Estos programas se han
probado con Python 2.7.
• La biblioteca requests de Python, que se utiliza en el script de ejemplo para realizar solicitudes web.
Una forma cómoda de instalar paquetes de Python es utilizar pip, que obtiene los paquetes del sitio web
Python Package Index. A continuación, puede instalar requests ejecutando pip install requests en
la línea de comandos.
• Una clave de acceso (ID de clave de acceso y clave de acceso secreta) en las variables de entorno
denominadas AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY. Si lo prefiere, puede conservar estos
valores en un archivo de credenciales y leerlos a partir de ese archivo. Como práctica recomendada,
es conveniente que no incluya las credenciales en el código. Para obtener más información, consulte
Prácticas recomendadas para administrar las claves de acceso de AWS en la Referencia general de
Amazon Web Services.
Note
En los siguientes ejemplos se utiliza UTF-8 para codificar la solicitud canónica y la cadena para
firmar, pero Signature Version 4 no requiere que se use codificación de caracteres determinada.
Sin embargo, algunos servicios de AWS podrían necesitar una codificación específica. Para
obtener más información, consulte la documentación correspondiente a dicho servicio.
Temas
• Uso de GET con un encabezado Authorization (Python) (p. 126)
• Uso de POST (Python) (p. 128)
• Uso de GET con la información de autenticación en la cadena de consulta (Python) (p. 130)
Version 1.0
125
Uso de GET con un encabezado Authorization (Python)

En el siguiente ejemplo se muestra cómo realizar una solicitud mediante la API de consulta de Amazon
EC2. La solicitud realiza una solicitud GET y pasa la información de autenticación a AWS mediante el
encabezado Authorization.
# AWS Version 4 signing example
# EC2 API (DescribeRegions)
# See: http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html
# This version makes a GET request and passes the signature
# in the Authorization header.
import sys, os, base64, datetime, hashlib, hmac
import requests # pip install requests
# ************* REQUEST VALUES *************

method = 'GET'
service = 'ec2'
host = 'ec2.amazonaws.com'
region = 'us-east-1'
endpoint = 'https://ec2.amazonaws.com'
request_parameters = 'Action=DescribeRegions&Version=2013-10-15'
# Key derivation functions. See:

# http://docs.aws.amazon.com/general/latest/gr/signature-v4-examples.html#signature-v4-
examples-python
def sign(key, msg):
return hmac.new(key, msg.encode('utf-8'), hashlib.sha256).digest()

kDate = sign(('AWS4' + key).encode('utf-8'), dateStamp)
kSigning = sign(kService, 'aws4_request')
return kSigning
# Read AWS access key from env. variables or configuration file. Best practice is NOT
# to embed credentials in code.
access_key = os.environ.get('AWS_ACCESS_KEY_ID')
secret_key = os.environ.get('AWS_SECRET_ACCESS_KEY')
if access_key is None or secret_key is None:
print 'No access key is available.'
sys.exit()
# Create a date for headers and the credential string

t = datetime.datetime.utcnow()
amzdate = t.strftime('%Y%m%dT%H%M%SZ')
datestamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope
# ************* TASK 1: CREATE A CANONICAL REQUEST *************

# http://docs.aws.amazon.com/general/latest/gr/sigv4-create-canonical-request.html
# Step 1 is to define the verb (GET, POST, etc.)--already done.
# Step 2: Create canonical URI--the part of the URI from domain to query
# string (use '/' if no path)
canonical_uri = '/'
# Step 3: Create the canonical query string. In this example (a GET request),
# request parameters are in the query string. Query string values must
# be URL-encoded (space=%20). The parameters must be sorted by name.
# For this example, the query string is pre-formatted in the request_parameters variable.
Version 1.0
126
canonical_querystring = request_parameters
# Step 4: Create the canonical headers and signed headers. Header names
# must be trimmed and lowercase, and sorted in code point order from
# low to high. Note that there is a trailing \n.
canonical_headers = 'host:' + host + '\n' + 'x-amz-date:' + amzdate + '\n'
# Step 5: Create the list of signed headers. This lists the headers
# in the canonical_headers list, delimited with ";" and in alpha order.
# Note: The request can include any headers; canonical_headers and
# signed_headers lists those that you want to be included in the
# hash of the request. "Host" and "x-amz-date" are always required.
signed_headers = 'host;x-amz-date'
# Step 6: Create payload hash (hash of the request body content). For GET
# requests, the payload is an empty string ("").
payload_hash = hashlib.sha256('').hexdigest()
# Step 7: Combine elements to create create canonical request

canonical_request = method + '\n' + canonical_uri + '\n' + canonical_querystring + '\n' +
canonical_headers + '\n' + signed_headers + '\n' + payload_hash
# ************* TASK 2: CREATE THE STRING TO SIGN*************

# Match the algorithm to the hashing algorithm you use, either SHA-1 or
# SHA-256 (recommended)
algorithm = 'AWS4-HMAC-SHA256'
credential_scope = datestamp + '/' + region + '/' + service + '/' + 'aws4_request'
string_to_sign = algorithm + '\n' + amzdate + '\n' + credential_scope + '\n' +
hashlib.sha256(canonical_request).hexdigest()
# ************* TASK 3: CALCULATE THE SIGNATURE *************

# Create the signing key using the function defined above.
signing_key = getSignatureKey(secret_key, datestamp, region, service)
# Sign the string_to_sign using the signing_key

signature = hmac.new(signing_key, (string_to_sign).encode('utf-8'),
hashlib.sha256).hexdigest()
# ************* TASK 4: ADD SIGNING INFORMATION TO THE REQUEST *************

# The signing information can be either in a query string value or in
# a header named Authorization. This code shows how to use a header.
# Create authorization header and add to request headers
authorization_header = algorithm + ' ' + 'Credential=' + access_key + '/' +
credential_scope + ', ' + 'SignedHeaders=' + signed_headers + ', ' + 'Signature=' +
signature
# The request can include any headers, but MUST include "host", "x-amz-date",
# and (for this scenario) "Authorization". "host" and "x-amz-date" must
# be included in the canonical_headers and signed_headers, as noted
# earlier. Order here is not significant.
# Python note: The 'host' header is added automatically by the Python 'requests' library.
headers = {'x-amz-date':amzdate, 'Authorization':authorization_header}
# ************* SEND THE REQUEST *************

request_url = endpoint + '?' + canonical_querystring
print '\nBEGIN REQUEST++++++++++++++++++++++++++++++++++++'

print 'Request URL = ' + request_url
r = requests.get(request_url, headers=headers)
print '\nRESPONSE++++++++++++++++++++++++++++++++++++'
print 'Response code: %d\n' % r.status_code
Version 1.0
127
print r.text
Uso de POST (Python)

En el siguiente ejemplo se muestra cómo realizar una solicitud mediante la API de consulta de Amazon
DynamoDB. La solicitud realiza una solicitud POST y pasa los valores a AWS en el cuerpo de la solicitud.
La información de autenticación se pasa mediante el encabezado Authorization de la solicitud.
# DynamoDB API (CreateTable)
# This version makes a POST request and passes request parameters
# in the body (payload) of the request. Auth information is passed in
# an Authorization header.
import sys, os, base64, datetime, hashlib, hmac
# ************* REQUEST VALUES *************

method = 'POST'
service = 'dynamodb'
host = 'dynamodb.us-west-2.amazonaws.com'
region = 'us-west-2'
endpoint = 'https://dynamodb.us-west-2.amazonaws.com/'
# POST requests use a content type header. For DynamoDB,
# the content is JSON.
content_type = 'application/x-amz-json-1.0'
# DynamoDB requires an x-amz-target header that has this format:
# DynamoDB_<API version>.<operationName>
amz_target = 'DynamoDB_20120810.CreateTable'
# Request parameters for CreateTable--passed in a JSON block.

request_parameters = '{'
request_parameters += '"KeySchema": [{"KeyType": "HASH","AttributeName": "Id"}],'
request_parameters += '"TableName": "TestTable","AttributeDefinitions": [{"AttributeName":
"Id","AttributeType": "S"}],'
request_parameters += '"ProvisionedThroughput": {"WriteCapacityUnits":
5,"ReadCapacityUnits": 5}'
request_parameters += '}'

examples-python
def sign(key, msg):
return hmac.new(key, msg.encode("utf-8"), hashlib.sha256).digest()
def getSignatureKey(key, date_stamp, regionName, serviceName):

kDate = sign(('AWS4' + key).encode('utf-8'), date_stamp)
return kSigning
sys.exit()

Version 1.0
128
amz_date = t.strftime('%Y%m%dT%H%M%SZ')
date_stamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope

# Step 1 is to define the verb (GET, POST, etc.)--already done.
canonical_uri = '/'
## Step 3: Create the canonical query string. In this example, request

# parameters are passed in the body of the request and the query string
# is blank.
canonical_querystring = ''
# Step 4: Create the canonical headers. Header names must be trimmed

# and lowercase, and sorted in code point order from low to high.
# Note that there is a trailing \n.
canonical_headers = 'content-type:' + content_type + '\n' + 'host:' + host + '\n' + 'x-amz-
date:' + amz_date + '\n' + 'x-amz-target:' + amz_target + '\n'
# Step 5: Create the list of signed headers. This lists the headers
# in the canonical_headers list, delimited with ";" and in alpha order.
# Note: The request can include any headers; canonical_headers and
# signed_headers include those that you want to be included in the
# hash of the request. "Host" and "x-amz-date" are always required.
# For DynamoDB, content-type and x-amz-target are also required.
signed_headers = 'content-type;host;x-amz-date;x-amz-target'
# Step 6: Create payload hash. In this example, the payload (body of

# the request) contains the request parameters.
payload_hash = hashlib.sha256(request_parameters).hexdigest()


credential_scope = date_stamp + '/' + region + '/' + service + '/' + 'aws4_request'
string_to_sign = algorithm + '\n' + amz_date + '\n' + credential_scope + '\n' +

# Create the signing key using the function defined above.
signing_key = getSignatureKey(secret_key, date_stamp, region, service)

signature = hmac.new(signing_key, (string_to_sign).encode('utf-8'),

# Put the signature information in a header named Authorization.
authorization_header = algorithm + ' ' + 'Credential=' + access_key + '/' +
credential_scope + ', ' + 'SignedHeaders=' + signed_headers + ', ' + 'Signature=' +
signature
# For DynamoDB, the request can include any headers, but MUST include "host", "x-amz-date",
Version 1.0
129
# "x-amz-target", "content-type", and "Authorization". Except for the authorization

# header, the headers must be included in the canonical_headers and signed_headers values,
as
# noted earlier. Order here is not significant.
# # Python note: The 'host' header is added automatically by the Python 'requests' library.
headers = {'Content-Type':content_type,
'X-Amz-Date':amz_date,
'X-Amz-Target':amz_target,
'Authorization':authorization_header}
# ************* SEND THE REQUEST *************

print 'Request URL = ' + endpoint
r = requests.post(endpoint, data=request_parameters, headers=headers)
print '\nRESPONSE++++++++++++++++++++++++++++++++++++'
print r.text
Uso de GET con la información de autenticación en la cadena de

consulta (Python)
En el siguiente ejemplo se muestra cómo realizar una solicitud mediante la API de consulta de IAM. La
solicitud realiza una solicitud GET y pasa los parámetros y la información de firma mediante la cadena de
consulta.
# IAM API (CreateUser)
# This version makes a GET request and passes request parameters
# and authorization information in the query string
import sys, os, base64, datetime, hashlib, hmac, urllib
# ************* REQUEST VALUES *************

method = 'GET'
service = 'iam'
host = 'iam.amazonaws.com'
region = 'us-east-1'
endpoint = 'https://iam.amazonaws.com'

examples-python
def sign(key, msg):
return hmac.new(key, msg.encode('utf-8'), hashlib.sha256).digest()

kDate = sign(('AWS4' + key).encode('utf-8'), dateStamp)
return kSigning
Version 1.0
130

sys.exit()

amz_date = t.strftime('%Y%m%dT%H%M%SZ') # Format date as YYYYMMDD'T'HHMMSS'Z'
datestamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope

# Because almost all information is being passed in the query string,

# the order of these steps is slightly different than examples that
# use an authorization header.
# Step 1: Define the verb (GET, POST, etc.)--already done.
canonical_uri = '/'
# Step 3: Create the canonical headers and signed headers. Header names
# must be trimmed and lowercase, and sorted in code point order from
# low to high. Note trailing \n in canonical_headers.
# signed_headers is the list of headers that are being included
# as part of the signing process. For requests that use query strings,
# only "host" is included in the signed headers.
canonical_headers = 'host:' + host + '\n'
signed_headers = 'host'
credential_scope = datestamp + '/' + region + '/' + service + '/' + 'aws4_request'
# Step 4: Create the canonical query string. In this example, request

# parameters are in the query string. Query string values must
# be URL-encoded (space=%20). The parameters must be sorted by name.
canonical_querystring = 'Action=CreateUser&UserName=NewUser&Version=2010-05-08'
canonical_querystring += '&X-Amz-Algorithm=AWS4-HMAC-SHA256'
canonical_querystring += '&X-Amz-Credential=' + urllib.quote_plus(access_key + '/' +
credential_scope)
canonical_querystring += '&X-Amz-Date=' + amz_date
canonical_querystring += '&X-Amz-Expires=30'
canonical_querystring += '&X-Amz-SignedHeaders=' + signed_headers
# Step 5: Create payload hash. For GET requests, the payload is an

# empty string ("").
payload_hash = hashlib.sha256('').hexdigest()


string_to_sign = algorithm + '\n' + amz_date + '\n' + credential_scope + '\n' +

# Create the signing key
signing_key = getSignatureKey(secret_key, datestamp, region, service)
Version 1.0
131
Conjunto de pruebas
signature = hmac.new(signing_key, (string_to_sign).encode("utf-8"),


# The auth information can be either in a query string
# value or in a header named Authorization. This code shows how to put
# everything into a query string.
canonical_querystring += '&X-Amz-Signature=' + signature
# ************* SEND THE REQUEST *************

# The 'host' header is added automatically by the Python 'request' lib. But it
# must exist as a header in the request.
request_url = endpoint + "?" + canonical_querystring

print 'Request URL = ' + request_url
r = requests.get(request_url)
print '\nRESPONSE++++++++++++++++++++++++++++++++++++'
print r.text
Conjunto de pruebas de Signature Version 4

Para ayudarle a desarrollar un cliente de AWS compatible con Signature Version 4, puede utilizar los
archivos del conjunto de pruebas para asegurarse de que su código lleve a cabo correctamente cada paso
del proceso de firma.
Puede descargar el conjunto de pruebas en https://s3.amazonaws.com/awsdocs/aws-sig-v4-test-suite.zip.
Temas
• Ámbito de credenciales y clave secreta (p. 132)
• Ejemplo: solicitud GET sencilla con parámetros (p. 133)
Cada grupo de pruebas contiene cinco archivos que puede utilizar para validar cada una de las tareas
descritas en Proceso de firma Signature Version 4 (p. 108). En la siguiente lista se describe el contenido
de cada archivo.
• <nombre-de-archivo>.req: solicitud web que se va a firmar.

• <nombre-de-archivo>.creq: solicitud canónica resultante.
• <nombre-de-archivo>.sts: cadena para firmar resultante.
• <nombre-de-archivo>.authz: encabezado Authorization.
• <nombre-de-archivo>.sreq: solicitud firmada.
Ámbito de credenciales y clave secreta

En los ejemplos del conjunto de pruebas se utiliza el siguiente ámbito de credenciales:
AKIDEXAMPLE/20150830/us-east-1/service/aws4_request
La clave secreta de ejemplo que se utiliza para firmar es:
wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY
Version 1.0
132
Conjunto de pruebas
Ejemplo: solicitud GET sencilla con parámetros

En el siguiente ejemplo se muestra la solicitud web que se va a firmar del archivo get-vanilla-query-
order-key-case.req. Se trata de la solicitud original.
GET /?Param2=value2&Param1=value1 HTTP/1.1

Host:example.amazonaws.com
X-Amz-Date:20150830T123600Z
Tarea 1: Creación de una solicitud canónica

En los pasos descritos en Tarea 1: Creación de una solicitud canónica para Signature Version 4 (p. 111),
cambie la solicitud del archivo get-vanilla-query-order-key-case.req.

X-Amz-Date:20150830T123600Z
Con ello, se crea la solicitud canónica en el archivo get-vanilla-query-order-key-case.creq.
GET
/
Param1=value1&Param2=value2
host:example.amazonaws.com
x-amz-date:20150830T123600Z
host;x-amz-date
Notas
• Los parámetros se ordenan alfabéticamente (según el código de caracteres).

• Los nombres de encabezado están en minúsculas.
• Hay un salto de línea entre el encabezado x-amz-date y los encabezados firmados.
• El hash de la carga es el hash de la cadena vacía.
Tarea 2: Creación de una cadena para firmar

El hash de la solicitud canónica devuelve el siguiente valor:
816cd5b414d056048ba4f7c5386d6e0533120fb1fcfa93762cf0fc39e2cf19e0
En los pasos descritos en Tarea 2: Creación de una cadena para firmar para Signature Version
4 (p. 117), añada el algoritmo, la fecha de solicitud, el ámbito de credenciales y el hash de la solicitud
canónica con el fin de crear la cadena para firmar.
El resultado es el archivo get-vanilla-query-order-key-case.sts.
AWS4-HMAC-SHA256
20150830T123600Z
20150830/us-east-1/service/aws4_request
816cd5b414d056048ba4f7c5386d6e0533120fb1fcfa93762cf0fc39e2cf19e0
Notas
Version 1.0
133
Solución de problemas
• La fecha de la segunda coincide con el encabezado x-amz-date, así como con el primer elemento del
ámbito de credenciales.
• La última línea es el valor codificado en hexadecimal para el hash de la solicitud canónica.
Tarea 3: Cálculo de la firma

En los pasos descritos en Tarea 3: Cálculo de la firma para AWS Signature Version 4 (p. 118), cree una
firma con su clave de firma y la cadena para firmar a partir del archivo get-vanilla-query-order-key-
case.sts.
El resultado genera el contenido en el archivo get-vainilla-query-order-key-case.authz.
AWS4-HMAC-SHA256 Credential=AKIDEXAMPLE/20150830/us-east-1/
service/aws4_request, SignedHeaders=host;x-amz-date,
Signature=b97d918cfa904a5beff61c982a1b6f458b799221646efd99d3219ec94cdf2500
Tarea 4: Adición de la información de firma a la solicitud

En los pasos descritos en Tarea 4: Adición de la información de firma a la solicitud (p. 120), añada a la
solicitud original la información de firma generada en la tarea 3. Por ejemplo, tome el contenido de get-
vainilla-query-order-key-case.authz, añádaselo al encabezado Authorization y, a continuación,
añada el resultado a get-vanilla-query-order-key-case.req.
Con ello se crea la solicitud firmada en el archivo get-vanilla-query-order-key-case.sreq.

X-Amz-Date:20150830T123600Z
Authorization: AWS4-HMAC-SHA256 Credential=AKIDEXAMPLE/20150830/
us-east-1/service/aws4_request, SignedHeaders=host;x-amz-date,
Signature=b97d918cfa904a5beff61c982a1b6f458b799221646efd99d3219ec94cdf2500
Solución de errores en AWS Signature Version 4

Temas
• Solución de problemas de errores de canonización en AWS Signature Version 4 (p. 134)
• Solución de errores del ámbito de credenciales en AWS Signature Version 4 (p. 135)
• Solución de problemas de firma de clave en AWS Signature Version 4 (p. 137)
Al desarrollar código que implementa Signature Version 4, es posible que reciba errores de los productos
de AWS en los que efectúe las pruebas. Los errores suelen proceder de un error al canonizar la solicitud,
de una generación o uso incorrectos de la clave de firma, o de un error de validación de los parámetros
específicos de la firma que se envían junto con la solicitud.
Solución de problemas de errores de canonización en AWS

Signature Version 4
Tomemos la siguiente solicitud:
https://iam.amazonaws.com/?MaxItems=100
&Action=ListGroupsForUser
&UserName=Test
Version 1.0
134
&Version=2010-05-08
&X-Amz-Date=20120223T063000Z
&X-Amz-Credential=AKIAIOSFODNN7EXAMPLE/20120223/us-east-1/iam/aws4_request
&X-Amz-SignedHeaders=host
&X-Amz-Signature=<calculated value>
Si se calcula incorrectamente la solicitud canónica o la cadena para firmar, se produce un error en el paso
de comprobación de firma que realiza el servicio. En el siguiente ejemplo se muestra una respuesta de
error típica, que incluye la cadena canónica y la cadena para firmar calculadas por el servicio. Puede
solucionar el error de cálculo comparando las cadenas devueltas con la cadena canónica y la cadena para
firmar calculada.
<ErrorResponse xmlns="https://iam.amazonaws.com/doc/2010-05-08/">
<Error>
<Type>Sender</Type>
<Code>SignatureDoesNotMatch</Code>
<Message>The request signature we calculated does not match the signature you provided.
Check your AWS Secret Access Key and signing method. Consult the service documentation for
details.
The canonical string for this request should have been 'GET /
Action=ListGroupsForUser&MaxItems=100&UserName=Test&Version=2010-05-08&X-Amz-
Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential
=AKIAIOSFODNN7EXAMPLE%2F20120223%2Fus-east-1%2Fiam%2Faws4_request&X-Amz-
Date=20120223T063000Z&X-Amz-SignedHeaders=host
host:iam.amazonaws.com
host
<hashed-value>'
The String-to-Sign should have been

'AWS4-HMAC-SHA256
20120223T063000Z
20120223/us-east-1/iam/aws4_request
<hashed-value>'
</Message>
</Error>
<RequestId>4ced6e96-5de8-11e1-aa78-a56908bdf8eb</RequestId>
</ErrorResponse>
Cuando realice pruebas con un SDK, recomendamos solucionar los problemas comprobando cada paso
de generación respecto a los valores conocidos. Para obtener más información, consulte Conjunto de
pruebas de Signature Version 4 (p. 132).
Solución de errores del ámbito de credenciales en AWS

Signature Version 4
Los productos de AWS validan las credenciales para asegurarse de que su ámbito sea correcto; el
parámetro de credenciales debe especificar el servicio, la región y la fecha correctos. Por ejemplo, la
credencial siguiente hace referencia al servicio Amazon RDS:
Credential=AKIAIOSFODNN7EXAMPLE/20120224/us-east-1/rds/aws4_request
Si utiliza las mismas credenciales para enviar una solicitud de IAM, recibirá la siguiente respuesta de error:
<Error>
<Type>Sender</Type>
Version 1.0
135
<Message>Credential should be scoped to correct service: 'iam'. </Message>
</Error>
<RequestId>aa0da9de-5f2b-11e1-a2c0-c1dc98b6c575</RequestId>
La credencial debe especificar también la región correcta. Por ejemplo, la credencial siguiente para una
solicitud de IAM especifica de forma incorrecta la región EE.UU. Oeste (Norte de California).
Credential=AKIAIOSFODNN7EXAMPLE/20120224/us-west-1/iam/aws4_request
Si utiliza la credencial para enviar una solicitud a IAM, que únicamente acepta la especificación de región
us-east-1, recibirá la siguiente respuesta:
<Error>
<Type>Sender</Type>
<Message>Credential should be scoped to a valid region, not 'us-east-1'. </Message>
</Error>
<RequestId>8e229682-5f27-11e1-88f2-4b1b00f424ae</RequestId>
</ErrorResponse>
Recibirá el mismo tipo de respuesta de región no válida de los productos de AWS que están disponibles
en varias regiones si envía solicitudes a una región distinta de aquella que se especifica en su ámbito de
credenciales.
La credencial debe especificar también la región correcta para el servicio y la acción de su solicitud.
La fecha que se utiliza como parte de la credencial debe coincidir con el valor de fecha del encabezado
x-amz-date. Por ejemplo, el siguiente valor del encabezado x-amz-date no coincide con el valor de fecha
utilizado en el parámetro Credential que aparece a continuación.
x-amz-date:"20120224T213559Z"
Credential=AKIAIOSFODNN7EXAMPLE/20120225/us-east-1/iam/aws4_request
Si utiliza este binomio de encabezado x-amz-date y credencial, recibirá la siguiente respuesta de error:
<Error>
<Type>Sender</Type>
<Message>Date in Credential scope does not match YYYYMMDD from ISO-8601 version of date
from HTTP: '20120225' != '20120224', from '20120 224T213559Z'.</Message>
</Error>
<RequestId>9d6ddd2b-5f2f-11e1-b901-a702cd369eb8</RequestId>
</ErrorResponse>
Una firma que ha caducado también puede generar una respuesta de error. Por ejemplo, la siguiente
respuesta de error se generó a causa de una firma caducada.
<Error>
<Type>Sender</Type>
<Message>Signature expired: 20120306T074514Z is now earlier than 20120306T074556Z
(20120306T080056Z - 15 min.)</Message>
</Error>
<RequestId>fcc88440-5dec-11e1-b901-a702cd369eb8</RequestId>
Version 1.0
136
Referencia específica del servicio
</ErrorResponse>
Solución de problemas de firma de clave en AWS Signature

Version 4
Los errores causados por una generación incorrecta de la clave de firma o por un uso incorrecto de la
criptografía son más difíciles de solucionar. La respuesta de error le indicará que la firma no coincide. Si
ha comprobado que la cadena canónica y la cadenas para firmar son correctos, lo más probable es que la
causa de la discrepancia de firma se deba a uno de los dos siguientes problemas:
• La clave de acceso secreta no coincide con el ID de clave de acceso especificado en el parámetro

Credential.
• Hay un problema con el código de generación de la clave.
Para comprobar si la clave secreta coincide con el ID de clave de acceso, puede utilizar su clave de
acceso e ID de clave de acceso con una implementación que ya ha comprobado que funciona. Una forma
consiste en utilizar uno de los AWS SDK para escribir un programa que realice una solicitud simple a AWS
utilizando el ID de clave de acceso y la clave de acceso secreta que desea utilizar.
Para comprobar si el código de generación de clave es correcto, puede compararlo con nuestro ejemplo
de código de generación. Para obtener más información, consulte Ejemplos de cómo generar una clave de
firma para Signature Version 4 (p. 122).
Referencia específica del servicio para Signature

Version 4
Para obtener más información acerca de la realización y firma de solicitudes HTTP en el contexto de cada
servicio de AWS concreto, consulte la documentación de los siguientes servicios:
• Amazon API Gateway

• Amazon CloudSearch
• Amazon CloudWatch
• AWS Data Pipeline
• Amazon Elastic Compute Cloud (Amazon EC2)
• Amazon Elastic Transcoder
• Amazon Glacier
• Amazon Mobile Analytics
• Amazon Relational Database Service (Amazon RDS)
• Amazon Simple Email Service (Amazon SES)
• Amazon Simple Queue Service (Amazon SQS)
• Amazon Simple Storage Service (Amazon S3)
• Amazon Simple Workflow Service (Amazon SWF)
• AWS WAF
Proceso de firma de Signature Version 2

Puede utilizar Signature Version 2 para firmar solicitudes de API. Sin embargo, recomendamos que firme
la solicitud con Signature Version 4. Para obtener más información, consulte Proceso de firma Signature
Version 4 (p. 108).
Version 1.0
137
Regiones y servicios admitidos
Regiones y servicios admitidos

Las siguientes regiones no admiten Signature Version 2. Debe utilizar Signature Version 4 para firmar
solicitudes de API en estas regiones:
• US East (Ohio) Region

• Canada (Central) Region
• Asia Pacific (Mumbai) Region
• Asia Pacific (Seoul) Region
• EU (Frankfurt) Region
• EU (London) Region
• China (Beijing) Region
Los siguientes servicios admiten Signature Version 2 en todas las demás regiones.
Servicios de AWS que admiten Signature Version 2
Auto Scaling Auto Scaling API Reference
AWS CloudFormation AWS CloudFormation API Reference
Amazon CloudWatch Amazon CloudWatch API Reference
AWS Elastic Beanstalk Elastic Beanstalk API Reference
Amazon Elastic Compute Cloud (Amazon Amazon EC2 API Reference

EC2)
Elastic Load Balancing Elastic Load Balancing API Reference version

2012-06-01
Amazon EMR Amazon EMR API Reference
Amazon ElastiCache Amazon ElastiCache API Reference
AWS Identity and Access Management (IAM) IAM API Reference
AWS Import/Export AWS Import/Export API Reference
Amazon Relational Database Service Amazon Relational Database Service API Reference
(Amazon RDS
Amazon Simple Notification Service (Amazon Amazon Simple Notification Service API Reference
SNS)
Amazon Simple Queue Service (Amazon Amazon Simple Queue Service API Reference
SQS)
Amazon SimpleDB Amazon SimpleDB API Reference
Componentes de una solicitud de consulta para

Signature Version 2
AWS requiere que cada solicitud de consulta HTTP o HTTPS formateada para Signature Version 2
contenga lo siguiente:
Version 1.0
138
Componentes de una solicitud de
consulta para Signature Version 2
Punto de conexión
También se denomina la parte host de la solicitud HTTP. Se trata del nombre de DNS del equipo en el
que se envía la solicitud de consulta. Es diferente para cada región de AWS. Para obtener la lista de
puntos de conexión de cada servicio, consulte Regiones y puntos de conexión de AWS (p. 2).
Action
Acción que desea que el servicio web lleve a cabo. Este valor determina los parámetros que se utilizan
en la solicitud.
AWSAccessKeyId
Valor distribuido por AWS al inscribirse en una cuenta de AWS.

SignatureMethod
Protocolo basado en hash que se utiliza para calcular la firma. Puede ser HMAC-SHA1 o HMAC-
SHA256 para Signature Version 2.
SignatureVersion
Versión del protocolo de firma de AWS.

Timestamp
Momento en el que se realiza la solicitud. Debe incluirlo en la solicitud de consulta para ayudar a
impedir que terceros intercepten su solicitud.
Parámetros obligatorios y opcionales
Cada acción tiene un conjunto de parámetros obligatorios y opcionales que definen la llamada de API.
Signature
Valor calculado que garantiza que la firma es válida y no se ha manipulado.
A continuación se muestra un ejemplo de solicitud de consulta de Amazon EMR formateada como solicitud
GET HTTPS.
• El punto de conexión, elasticmapreduce.amazonaws.com, es el punto de conexión predeterminado y se

asigna a la región us-east-1.
• La acción DescribeJobFlows, que solicita información acerca de uno o varios flujos de trabajo.
Note
En la solicitud de consulta real, no hay espacios ni caracteres de nueva línea. La solicitud es

una línea de texto continua. En el ejemplo siguiente, el formato se ha modificado para facilitar su
legibilidad.
https://elasticmapreduce.amazonaws.com?
&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
&Action=DescribeJobFlows
&SignatureMethod=HmacSHA256
&SignatureVersion=2
&Timestamp=2011-10-03T15%3A19%3A30
&Version=2009-03-31
&Signature=calculated value
Version 1.0
139
Cómo generar una versión de firma Signature
Version 2 para una solicitud de consulta
Cómo generar una versión de firma Signature Version

2 para una solicitud de consulta
Las solicitudes de servicio web se envían a través de Internet y son vulnerables a la manipulación. Con el
fin de comprobar que la solicitud no se ha modificado, AWS calcula la firma para determinar si cualquiera
de los parámetros o los valores de los parámetros se han cambiado mientras estaba en tránsito. AWS
requiere una firma como parte de cada solicitud.
Note
Asegúrese de codificar la solicitud según las normas de los URI. Por ejemplo, los espacios en
blanco de la solicitud deben codificarse como %20. Aunque la especificación del protocolo HTTP
suele permitir un espacio en blanco sin codificar, los caracteres sin codificar crean una firma no
válida en la solicitud de consulta. No codifique los espacios como un signo más (+), ya que esto
provocará errores.
En los siguientes temas se describen los pasos necesarios para calcular una firma utilizando AWS
Signature Version 2.
Tarea 1: Formato de la solicitud de consulta

Antes de firmar la solicitud de consulta, debe configurarla con un formato estandarizado (canónico). Esto
es necesario porque las distintas maneras de formatear una solicitud de consulta darán lugar a firmas
HMAC diferentes. Configure la solicitud en formato canónico antes de efectuar la firma. De este modo, se
asegurará de que la aplicación y AWS calculen la misma firma para una solicitud.
Para crear la cadena para firmar, concatene los componentes de la solicitud de consulta. En el siguiente
ejemplo se genera la cadena para firmar correspondiente a la siguiente llamada a la API de Amazon EMR.
Action=DescribeJobFlows
&Version=2009-03-31
&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
&SignatureVersion=2
&Timestamp=2011-10-03T15:19:30
Note
En la solicitud anterior, los últimos cuatro parámetros (de AWSAccessKeyID a Timestamp)

se denominan parámetros de autenticación. Son necesarios en cada solicitud de Signature
Version 2. AWS los utiliza para identificar quién envía la solicitud y si se concederá o no el acceso
solicitado.
Para crear la cadena para firmar (Signature Version 2)
1. Comience con el método de solicitud (GET o POST), seguido de un carácter de nueva línea. Para
facilitar su legibilidad, el carácter de nueva se ha representado como \n.
GET\n
2. Añada el encabezado de host HTTP (punto de conexión) en minúsculas, seguido de un carácter

de nueva línea. La información del puerto se omite si se trata del puerto estándar para el protocolo
(puerto 80 para HTTP y puerto 443 para HTTPS), pero se incluye si es un puerto no estándar.
Version 1.0
140
elasticmapreduce.amazonaws.com\n
3. Añada la versión codificada según las normas de las URL de cada segmento de la ruta del URI, que
es todo aquello que figura entre el encabezado de host de HTTP y el signo de interrogación (?) en el
que comienzan los parámetros de la cadena de consulta, seguido de un carácter de nueva línea. No
codifique la barra diagonal (/) que delimita cada segmento de la ruta.
En este ejemplo, si la ruta absoluta está vacía, utilice una barra diagonal (/).
/\n
4. a. Añada los componentes de la cadena de consulta como caracteres UTF-8 codificados según
las normas de las URL (los caracteres hexadecimales deben ir en mayúsculas). El signo de
interrogación (?) inicial no se codifica en la solicitud. Para obtener más información, consulte RFC
3986.
b. Ordene los componentes de la cadena de consulta por orden de bytes. Este tipo de ordenación
distingue entre mayúsculas y minúsculas. AWS ordena estos componentes en función de los
bytes sin procesar.
Por ejemplo, este es el orden original de los componentes de la cadena de consulta.
Version=2009-03-31
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
SignatureVersion=2
SignatureMethod=HmacSHA256
Timestamp=2011-10-03T15%3A19%3A30
Los componentes de la cadena de consulta se reorganizarían como sigue:
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE
SignatureMethod=HmacSHA256
SignatureVersion=2
Timestamp=2011-10-03T15%3A19%3A30
Version=2009-03-31
c. Separe los nombres de parámetros de sus valores con el signo igual (=), aunque el valor esté
vacío. Separe los pares de parámetro-valor con el carácter ampersand (&). Concatene los
parámetros y sus valores para crear una cadena larga sin espacios. Se permiten espacios en
el valor de un parámetro, pero deben codificarse según las normas de las URL como %20. En
la cadena concatenada, el carácter de punto (.) no requieren un carácter de escape. RFC 3986
considera que el punto es un carácter no reservado, de modo que no se codifica según las
normas de las URL.
Note
RFC 3986 no especifica lo que ocurre con los caracteres de control ASCII, los caracteres
UTF-8 extendidos u otros caracteres reservados por RFC 1738. Habida cuenta de
que los valores pueden pasarse en un valor de cadena, estos otros caracteres deben
codificarse mediante un signo de porcentaje como %XY, donde X e Y son caracteres
hexadecimales en mayúscula. Los caracteres UTF-8 extendidos adoptan la forma %XY
%ZA... (de este modo se administran también los caracteres multibyte).
En el siguiente ejemplo se muestran los componentes de una cadena de consulta, con los parámetros
concatenados mediante el signo ampersand (&) y ordenados por orden de bytes.
Version 1.0
141
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVer
5. Para construir la solicitud canónica terminada, combine todos los componentes de cada paso. Tal y
como se indica, cada componente finaliza con un carácter de nueva línea.
GET\n
/\n
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVer
Tarea 2: Cálculo de la firma

Una vez que ha creado la cadena canónica tal y como se describe en Tarea 1: Formato de la solicitud
de consulta (p. 140), calcule la firma creando un código de autenticación de mensajes basado en hash
(HMAC) que utiliza el protocolo HMAC-SHA1 o HMAC-SHA256. Es preferible usar HMAC-SHA256.
En este ejemplo, la firma se calcula con la siguiente cadena canónica y clave secreta como entradas para
una función hash con clave:
• Cadena de consulta canónica:
GET\n
/\n
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersi
• Ejemplo de clave secreta:
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
La firma resultante debe codificarse en base 64.
i91nKc4PWAt0JJIdXwz9HxZCJDdiy6cf%2FMj6vPxyYIs%3D
Añada el valor resultante a la solicitud de consulta como parámetro Signature. Cuando se añade este
parámetro a la solicitud, se debe codificar según las normas de los URI igual que cualquier otro parámetro.
Puede utilizar la solicitud firmada en una llamada HTTP o HTTPS.
AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersion
%2FMj6vPxyYIs%3D
Note
Puede utilizar credenciales de seguridad temporales proporcionadas por AWS Security Token
Service (AWS STS) para firmar una solicitud. El proceso es el mismo que con las credenciales a
largo plazo, pero las solicitudes requieren un parámetro adicional para el token de seguridad.
En la siguiente solicitud se utilizan un ID de clave de acceso temporal y el parámetro SecurityToken.
Version 1.0
142
Example Ejemplo de solicitud con credenciales de seguridad temporales
https://sdb.amazonaws.com/
?Action=GetAttributes
&AWSAccessKeyId=access-key-from-AWS Security Token Service
&DomainName=MyDomain
&ItemName=MyItem
&SignatureVersion=2
&Timestamp=2010-01-25T15%3A03%3A07-07%3A00
&Version=2009-04-15
&Signature=signature-calculated-using-the-temporary-access-key
&SecurityToken=session-token
Para obtener más información, consulte los recursos siguientes:
• En la Amazon EMR Developer Guide Amazon EMR encontrará información acerca de las llamadas de
API.
• La documentación de API de cada servicio contiene información acerca de los requisitos y parámetros
específicos para una acción.
• Los AWS SDK ofrecen funciones para generar firmas de solicitudes de consulta. Para ver un
ejemplo con el AWS SDK para Java, consulte Uso del SDK para Java para firmar una solicitud de
consulta (p. 144).
Solución de problemas de firma de solicitudes con Signatures

Version 2
En esta sección se describen algunos códigos de error que pueden aparecer al principio del proceso de
desarrollo de código dirigido a generar firmas para solicitudes de consulta.
Error de firma SignatureDoesNotMatch en un servicio web

La siguiente respuesta de error se devuelve cuando un servicio web intenta validar la firma de la solicitud
volviendo a calcular su valor y genera un valor que no coincide con la firma que se adjunta a la solicitud.
Esto puede ocurrir porque la solicitud se haya modificado desde el momento en que se envió y el momento
en que llegó a un punto de conexión del servicio web (precisamente, la firma se ha diseñado para detectar
esto), o bien porque la firma se haya calculado incorrectamente. Una causa habitual del mensaje de error
siguiente es que no se haya creado correctamente la cadena para firmar; por ejemplo, si se ha olvidado de
codificar según las normas de las URL algún carácter como el signo de dos puntos (:) o la barra diagonal
(/) en los nombres de los buckets de Amazon S3.
<ErrorResponse xmlns="http://elasticmapreduce.amazonaws.com/doc/2009-03-31">
<Error>
<Type>Sender</Type>
<Message>The request signature we calculated does not match the signature you
provided.
Check your AWS Secret Access Key and signing method.
Consult the service documentation for details.</Message>
</Error>
<RequestId>7589637b-e4b0-11e0-95d9-639f87241c66</RequestId>
</ErrorResponse>
Error de firma IncompleteSignature en un servicio web

El error siguiente indica que falta información en la firma o esta se ha creado de manera incorrecta.
Version 1.0
143
<ErrorResponse xmlns="http://elasticmapreduce.amazonaws.com/doc/2009-03-31">
<Error>
<Type>Sender</Type>
<Code>IncompleteSignature</Code>
<Message>Request must contain a signature that conforms to AWS standards</Message>
</Error>
<RequestId>7146d0dd-e48e-11e0-a276-bd10ea0cbb74</RequestId>
</ErrorResponse>
Uso del SDK para Java para firmar una solicitud de consulta
En el siguiente ejemplo se utiliza el paquete amazon.webservices.common de AWS SDK para Java para
generar la firma de una solicitud de consulta con AWS Signature Version 2. Para hacerlo, crea una firma
HMAC conforme con RFC 2104. Para obtener más información acerca de HMAC, consulte HMAC: Keyed-
Hashing for Message Authentication.
Note
Java se utiliza como ejemplo de implementación. Puede utilizar el lenguaje de programación que
prefiera para implementar el algoritmo HMAC con el fin de firmar solicitudes de consulta.
import java.security.SignatureException;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import com.amazonaws.util.*;
/**
* This class defines common routines for generating
* authentication signatures for AWS Platform requests.
*/
public class Signature {
private static final String HMAC_SHA256_ALGORITHM = "HmacSHA256";
/**
* Computes RFC 2104-compliant HMAC signature.
* * @param data
* The signed data.
* @param key
* The signing key.
* @return
* The Base64-encoded RFC 2104-compliant HMAC signature.
* @throws
* java.security.SignatureException when signature generation fails
*/
public static String calculateRFC2104HMAC(String data, String key)
throws java.security.SignatureException
{
String result;
try {
// Get an hmac_sha256 key from the raw key bytes.

SecretKeySpec signingKey = new SecretKeySpec(key.getBytes("UTF8"),
HMAC_SHA256_ALGORITHM);
// Get an hmac_sha256 Mac instance and initialize with the signing key.
Mac mac = Mac.getInstance(HMAC_SHA256_ALGORITHM);
mac.init(signingKey);
// Compute the hmac on input data bytes.

byte[] rawHmac = mac.doFinal(data.getBytes("UTF8"));
Version 1.0
144
// Base64-encode the hmac by using the utility in the SDK

result = BinaryUtils.toBase64(rawHmac);
} catch (Exception e) {
throw new SignatureException("Failed to generate HMAC : " + e.getMessage());
}
return result;
}
}
Version 1.0
145
Límites de los servicios de AWS
En las tablas siguientes se proporcionan los límites predeterminados de los servicios de AWS para
una cuenta de AWS. A menos que se indique otra cosa, cada límite es específico de la región. Muchos
servicios contienen límites que no puede modificarse. Para obtener más información acerca de los límites
de un servicio específico, consulte la documentación correspondiente a dicho servicio.
Si su plan de soporte incluye Trusted Advisor, puede utilizarlo para mostrar el uso y los límites de cada
servicio de una región determinada. Para obtener más información, consulte Trusted Advisor.
Puede realizar los pasos siguientes para solicitar un aumento de los límites. Estos aumentos no se
conceden de inmediato, de modo que podrían tardar unos días en hacerse efectivos.
Para solicitar un aumento de límite
1. Abra la página Centro de AWS Support, inicie sesión si es preciso y, a continuación, elija Create Case.
2. En Regarding, elija Service Limit Increase.
3. En Limit Type, seleccione el tipo de límite que desee aumentar, rellene los campos necesarios del
formulario y, a continuación, elija el método de contacto que prefiera.
Límites predeterminados
• Límites de Amazon API Gateway (p. 148)
• Límites de AWS Application Discovery Service (p. 149)
• Límites de Amazon AppStream (p. 149)
• Límites de Amazon AppStream 2.0 (p. 149)
• Límites de Application Auto Scaling (p. 150)
• Límites de Amazon Athena (p. 150)
• Límites de Auto Scaling (p. 150)
• Límites de AWS Batch (p. 151)
• Límites de AWS Certificate Manager (ACM) (p. 151)
• Límites de AWS CloudFormation (p. 151)
Version 1.0
146
• Límites de Amazon CloudFront (p. 151)

• Límites de AWS CloudHSM (p. 152)
• Límites de Amazon CloudSearch (p. 152)
• Límites de Amazon CloudWatch (p. 152)
• Límites de Amazon CloudWatch Events (p. 153)
• Límites de Amazon CloudWatch Logs (p. 154)
• Límites de AWS CodeBuild (p. 154)
• Límites de AWS CodeCommit (p. 155)
• Límites de AWS CodeDeploy (p. 155)
• Límites de AWS CodePipeline (p. 155)
• Límites de Amazon Cognito Your User Pools (p. 156)
• Límites de Amazon Cognito Federated Identities (p. 156)
• Límites de Amazon Connect (p. 156)
• Límites de Amazon Cognito Sync (p. 157)
• Límites de AWS Config (p. 158)
• Límites de AWS Data Pipeline (p. 158)
• Límites de AWS Database Migration Service (p. 158)
• Límites de AWS Device Farm (p. 159)
• Límites de AWS Direct Connect (p. 159)
• Límites de AWS Directory Service (p. 159)
• Límites de Amazon DynamoDB (p. 160)
• Límites de Amazon EC2 Container Registry (Amazon ECR) (p. 160)
• Límites de Amazon EC2 Container Service (Amazon ECS) (p. 161)
• Límites de Amazon EC2 Systems Manager (p. 161)
• Límites de AWS Elastic Beanstalk (p. 163)
• Límites de Amazon Elastic Block Store (Amazon EBS) (p. 163)
• Límites de Amazon Elastic Compute Cloud (Amazon EC2) (p. 164)
• Límites de Amazon Elastic File System (p. 165)
• Límites de Elastic Load Balancing (p. 165)
• Límites de Amazon Elastic Transcoder (p. 166)
• Límites de Amazon ElastiCache (p. 166)
• Límites de Amazon Elasticsearch Service (p. 167)
• Límites de Amazon GameLift (p. 167)
• Límites de AWS Identity and Access Management (IAM) (p. 168)
• Límites de AWS Import/Export (p. 168)
• Límites de Amazon Inspector (p. 168)
• Límites de AWS IoT (p. 169)
• Límites de AWS Key Management Service (AWS KMS) (p. 175)
• Límites de Amazon Kinesis Firehose (p. 175)
• Límites de Amazon Kinesis Streams (p. 176)
• Límites de AWS Lambda (p. 176)
• Límites de Amazon Lightsail (p. 176)
Version 1.0
147
Límites de Amazon API Gateway
• Límites de Amazon Machine Learning (Amazon ML) (p. 177)

• Límites de AWS OpsWorks for Chef Automate (p. 177)
• Límites de AWS OpsWorks Stacks (p. 177)
• Límites de AWS Organizations (p. 178)
• Límites de Amazon Polly (p. 178)
• Límites de Amazon Pinpoint (p. 178)
• Límites de Amazon Redshift (p. 179)
• Límites de Amazon Relational Database Service (Amazon RDS) (p. 179)
• Límites de Amazon Route 53 (p. 180)
• Límites de AWS Server Migration Service (p. 181)
• Límites de AWS Service Catalog (p. 181)
• Límites de AWS Shield Advanced (p. 181)
• Límites de Amazon Simple Email Service (Amazon SES) (p. 181)
• Límites de Amazon Simple Notification Service (Amazon SNS) (p. 182)
• Límites de Amazon Simple Storage Service (Amazon S3) (p. 183)
• Límites de Amazon Simple Workflow Service (Amazon SWF) (p. 183)
• Límites de Amazon SimpleDB (p. 183)
• Límites de Amazon Virtual Private Cloud (Amazon VPC) (p. 183)
• Límites de AWS WAF (p. 187)
• Límites de Amazon WorkSpaces (p. 188)
Límites de Amazon API Gateway

Los siguientes límites se aplican a la configuración y la ejecución de una API en Amazon API Gateway y
pueden aumentarse a petición para optimizar el rendimiento de una API implementada en Amazon API
Gateway.
Recurso u operación Límite predeterminado
Tasa de limitación por cuenta 1000 solicitudes por segundo (rps) con un límite de ráfaga de 2000
rps.
API por cuenta 60
Claves de API por cuenta 500
Autorizadores personalizados por 10

API
Certificados de cliente por cuenta 60
Partes de documentación por API 2000
Recursos por API 300
Fases por API 10
Planes de uso por cuenta 300
Version 1.0
148
Límites de AWS Application Discovery Service
Recurso u operación Límite predeterminado
Planes de uso por clave de API 10
Los límites que se indican por API únicamente pueden incrementarse para cada API determinada.
For information about additional documented limits, see Limits in Amazon API Gateway en la API Gateway
Developer Guide.
Límites de AWS Application Discovery Service

Recurso Límite predeterminado
Agentes inactivos que laten pero no recopilan datos 10 000
Agentes activos que envían datos al servicio 250
Datos totales recopilados para todos los agentes al día 10 GB
Duración del almacenamiento de datos antes de purgarlo 90 días
Límites de Amazon AppStream

Important
Esta información se aplica únicamente a una versión anterior de Amazon AppStream.
Una cuenta de Amazon AppStream tiene un límite de servicio de hasta cinco sesiones de streaming
simultáneas:
• Hasta dos implementaciones de aplicaciones en streaming simultáneas mediante el asistente interactivo.

• Hasta tres aplicaciones en streaming en los estados Building, Active o Error.
Para obtener más información, consulte Amazon AppStream Application Lifecycle en la Amazon
AppStream Developer Guide.
Límites de Amazon AppStream 2.0

Important
Esta información se aplica únicamente a la última versión, Amazon AppStream 2.0.
Límites predeterminados por región
Pilas 5 por cuenta
Flotas 5 por cuenta
Instancias en streaming 5 por cuenta
Version 1.0
149
Límites de Application Auto Scaling
Imágenes 5 por cuenta
Constructores de imágenes 5 por cuenta
Usuarios 5 por cuenta
Límites de Application Auto Scaling

Destinos escalables 500
Políticas de escalado por destino escalable 50
Ajustes de pasos por política de escalado 20
Límites de Amazon Athena

Número de consultas simultáneas 5
Tiempo de espera de consulta 30 minutos
Número de bases de datos 100
Número de tablas por base de datos 100
Número de particiones por tabla 20 000
Límites de Auto Scaling

Configuraciones de lanzamiento por región 100
Grupos de Auto Scaling por región 20
Políticas de escalado por grupo de Auto Scaling 50
Acciones programadas por grupo de Auto Scaling 125
Enlaces de ciclo de vida por grupo de Auto Scaling 50
Temas de SNS por grupo de Auto Scaling 10
Balanceadores de carga por grupo de Auto Scaling 50
Grupos de destino por grupo de Auto Scaling 50
Ajustes de pasos por política de escalado 20
Version 1.0
150
Límites de AWS Batch
For information about additional documented limits, see Auto Scaling Limits en la Auto Scaling User Guide.
Límites de AWS Batch

Elemento Límite predeterminado
Número máximo de entornos informáticos 10
Número máximo de colas de trabajo 5
Número máximo de entornos informáticos por cola 3

de trabajo
Para obtener más información sobre estos límites, consulte Service Limits en la AWS Batch User Guide.
Límites de AWS Certificate Manager (ACM)

Elemento Límite predeterminado
Número de certificados proporcionados por ACM 100
Número de certificados importadas 100
Número de nombres de dominio por certificado 10

proporcionado por ACM
Para obtener más información sobre estos límites, consulte Limits en la AWS Certificate Manager User
Guide.
Límites de AWS CloudFormation

Pilas 200
For information about additional documented limits, see AWS CloudFormation Limits en la AWS
CloudFormation User Guide.
Límites de Amazon CloudFront

Recurso Límite predeterm
Tasa de transferencia de datos por distribución 40 Gbps
Solicitudes por segundo por distribución 100 000
Distribuciones web por cuenta 200
Version 1.0
151
Límites de AWS CloudHSM
Recurso Límite predeterm
Distribuciones RTMP por cuenta 100
Nombres de dominio alternativos (CNAME) por distribución 100
Orígenes por distribución 25
Comportamientos de la caché por distribución 25
Encabezados en lista blanca por comportamiento de la caché 10
Cookies en lista blanca por comportamiento de la caché 10
Certificados SSL por cuenta cuando las solicitudes HTTPS se distribuyen mediante direcciones IP 2
dedicadas (sin límite si las solicitudes HTTPS se distribuyen mediante SNI)
Encabezados personalizados que puede hacer que Amazon CloudFront reenvíe al origen 10 pares de nom
For information about additional documented limits, see Limits en la Guía para desarrolladores de Amazon
CloudFront.
Límites de AWS CloudHSM

Dispositivos HSM 3
Grupos de particiones de alta disponibilidad 20
Clientes 800
Límites de Amazon CloudSearch

Particiones 10
Instancias de búsqueda 50
For information about additional documented limits, see Understanding Amazon CloudSearch Limits en la
Amazon CloudSearch Developer Guide.
Límites de Amazon CloudWatch

Recurso Límite predeterminado Comentarios
DescribeAlarms 3 transacciones por segundo Número máximo de solicitudes

(TPS) de operación que puede realizar
por segundo sin que aplique una
limitación.
Version 1.0
152
Límites de Amazon CloudWatch Events

Puede solicitar un aumento del
límite.
GetMetricStatistics 400 transacciones por segundo Número máximo de solicitudes

limitación.

límite.
ListMetrics 25 transacciones por segundo Número máximo de solicitudes

limitación.

límite.
PutMetricAlarm 3 transacciones por segundo Número máximo de solicitudes

limitación.

límite.
PutMetricData 150 transacciones por segundo Número máximo de solicitudes

limitación.

límite.
For information about additional documented limits, see CloudWatch Limits en la Amazon CloudWatch
User Guide.
Límites de Amazon CloudWatch Events

Reglas 50 por región por cuenta Puede solicitar un aumento del

límite.
Antes de solicitar un aumento

del límite, examine sus reglas.
Puede que tenga varias reglas
referidas a eventos específicos.
Puede ser conveniente ampliar
su ámbito de aplicación utilizando
menos identificadores en los
eventos y patrones de eventos.
Además, una regla puede invocar
Version 1.0
153
Límites de Amazon CloudWatch Logs

varios destinos cada vez que
coincida con un evento. Puede
ser interesante añadir más
destinos a sus reglas.
For information about additional documented limits, see Eventos de CloudWatch Limits en la Guía del
usuario de Amazon CloudWatch Events.
Límites de Amazon CloudWatch Logs

CreateLogGroup 500 grupos de registro/cuenta/ Si supera el límite de grupos de

región registro, recibirá una excepción
ResourceLimitExceeded.

límite.
DescribeLogStreams 5 transacciones por segundo Si experimenta limitaciones con

(TPS)/cuenta/región frecuencia, puede solicitar un
aumento del límite.
FilterLogEvents 5 transacciones por segundo Este límite puede cambiarse

(TPS)/cuenta/región únicamente en circunstancias
especiales. Si experimenta
limitaciones con frecuencia,
póngase en contacto con AWS
Support.
GetLogEvents 10 transacciones por segundo Recomendamos las

(TPS)/cuenta/región suscripciones si continuamente
está procesando datos nuevos.
Si necesita datos históricos,
recomendamos exportarlos a
Amazon S3. Este límite puede
cambiarse únicamente en
circunstancias especiales. Si
experimenta limitaciones con
frecuencia, póngase en contacto
con AWS Support.
For information about additional documented limits, see CloudWatch Logs Limits en la Amazon
CloudWatch Logs User Guide.
Límites de AWS CodeBuild

Número máximo de proyectos de 1 000

compilación
Version 1.0
154
Límites de AWS CodeCommit
Número máximo de 20
compilaciones en ejecución
simultáneas
For information about additional documented limits, see Limits for AWS CodeBuild en la AWS CodeBuild
User Guide.
Límites de AWS CodeCommit

Número de repositorios 1 000 por cuenta de AWS
For information about additional documented limits, see Limits in AWS CodeCommit en la AWS
CodeCommit User Guide.
Límites de AWS CodeDeploy

Número de aplicaciones en una cuenta en una sola región 40
Número de implementaciones simultáneas en una cuenta 10
Número de grupos de implementación asociados con una sola 50

aplicación
Número de instancias en una sola implementación 50
For information about additional documented limits, see Limits in AWS CodeDeploy en la AWS CodeDeploy
User Guide.
Límites de AWS CodePipeline

Número de canalizaciones por cuenta de AWS 20
Número de fases de una canalización 2 como mínimo, 10

como máximo
Número de acciones de una fase 1 como mínimo, 20

como máximo
Número de acciones en paralelo de una fase 5
Número de acciones secuenciales de una fase 5
Número de acciones personalizadas por cuenta de AWS 50
Version 1.0
155
Límites de Amazon Cognito Your User Pools
Número máximo de revisiones que se ejecutan en todas las canalizaciones Cinco veces el número
de canalizaciones de la
cuenta
Tamaño máximo de los artefactos de origen 500 megabytes (MB)
Número máximo de veces que se puede ejecutar una acción al mes 1 000 por mes natural
Pueden tardarse hasta dos semanas en procesar las solicitudes de aumento del límite.
For information about additional documented limits, see Limits in AWS CodePipeline en la AWS
CodePipeline User Guide.
Límites de Amazon Cognito Your User Pools

Número máximo de aplicaciones por grupo de 25

usuarios
Número máximo de grupos de usuarios por cuenta 60
Número máximo de trabajos de importación de 50

usuarios por grupo de usuarios
Para obtener más información sobre otros límites documentados, consulte Límites de Amazon Cognito en
la Guía para desarrolladores de Amazon Cognito.
Límites de Amazon Cognito Federated Identities

Número máximo de grupos de identidades por 60

cuenta
Límites de Amazon Connect

Área de configuración (por cuenta de AWS) Límite
Número máximo de instancias de Amazon Connect 3
Número máximo de usuarios 500
Version 1.0
156
Límites de Amazon Cognito Sync
Número máximo de números de teléfono 10
Número máximo de colas 50
Número máximo de colas por perfil de 50

enrutamiento
Número máximo de perfiles de enrutamiento 100
Número máximo de horas de funcionamiento 100
Número máximo de destinos de transferencia 100
Número máximo de instrucciones 500
Número máximo de estados de agente 50
Número máximo de perfiles de seguridad 100
Número máximo de flujos de contacto 100
Número máximo de grupos por nivel 50
Número máximo de informes 500
Número máximo de informes programados 50
Número máximo de llamadas activas 100
Tasa máxima sostenida de llamadas entrantes por 1

segundo
Países de destino salientes con los que se puede EE. UU.

establecer conexión
Para obtener más información sobre otros límites documentados, consulte Service Limits en la Amazon
Connect User Guide.
Límites de Amazon Cognito Sync

Número máximo de conjuntos de datos por 20

identidad
Número máximo de registros por conjunto de datos 1024
Tamaño máximo de un solo conjunto de datos 1 MB
Version 1.0
157
Límites de AWS Config
Límites de AWS Config

Recurso Límite predeterminado Notas
Número de reglas de AWS Config por 50 Puede solicitar un

región de su cuenta aumento del límite.
Límites de AWS Data Pipeline

Atributo Límite Ajustable
Número de canalizaciones 100 Sí
Número de objetos por canalización 100 Sí
Número de instancias activas por objeto 5 Sí
Número de campos por objeto 50 No
Número de bytes UTF8 por nombre o 256 No

identificador de campo
Número de butes UTF8 por campo 10 240 No
Número de bytes UTF8 por objeto 15 360 (incluidos los nombres de No

campos)
Tasa de creación de una instancia a 1 por cada 5 minutos No

partir de un objeto
Reintentos actividad de una canalización 5 por tarea No
Retraso mínimo entre reintentos 2 minutos No
Intervalo de programación mínimo 15 minutos No
Número máximo de acumulaciones en 32 No

un solo objeto
Número máximo de instancias EC2 por 1 No

objeto Ec2Resource
Para obtener otros límites, consulte AWS Data Pipeline Limits en la AWS Data Pipeline Developer Guide.
Límites de AWS Database Migration Service

Instancias de replicación 20
Cantidad total de almacenamiento 6 TB
Grupos de subredes de replicación 20
Version 1.0
158
Límites de AWS Device Farm
Subredes por grupo de subredes de replicación 20
Puntos de enlace 100
Tareas 200
Puntos de conexión por instancia 20
Límites de AWS Device Farm

Recurso Límite Comentarios
predeterminado
Tamaño de archivo de aplicación que se puede cargar 4 GB
Número de dispositivos que AWS Device Farm puede probar 5 Puede solicitar un
durante una ejecución de prueba aumento de este
límite a 100.
Número de dispositivos que pueden incluirse en una Ninguno

ejecución de prueba
Número de ejecuciones que se pueden programar Ninguna
Duración de una sesión de acceso remoto 60 minutos
Límites de AWS Direct Connect

Recurso Límite predeterminado Comentario
Interfaces virtuales por conexión 50 Para aumentar este límite, puede

de AWS Direct Connect enviar una solicitud.
Conexiones de AWS Direct 10 Para aumentar este límite, puede

Connect activas por región por enviar una solicitud.
cuenta
Rutas por sesión de protocolo de 100 Este límite no se puede

gateway fronteriza (BGP) aumentar.
Conexiones por grupo de 4 Para aumentar este límite, puede

agregación de enlaces (LAG) enviar una solicitud.
Grupos de agregación de 10 Para aumentar este límite, puede

enlaces (LAG) por región enviar una solicitud.
Límites de AWS Directory Service

Directorios de AD Connector 10
Version 1.0
159
Límites de Amazon DynamoDB
Directorios de AWS Directory Service for Microsoft 10

Active Directory (Enterprise Edition)
Directorios de Simple AD 10
Instantáneas manuales 5 por Microsoft AD
Instantáneas manuales 5 por Simple AD
Para obtener más información sobre otros límites documentados, incluidos los límites de Amazon Cloud
Directory, consulte AWS Directory Service Limits en la AWS Directory Service Admin Guide.
Límites de Amazon DynamoDB

Región US East (N. Virginia): 40 000 unidades de capacidad

de lectura y 40 000 unidades de
Número máximo de unidades de capacidad por tabla o índice capacidad de escritura
secundario global
Región US East (N. Virginia): 80 000 unidades de capacidad

Número máximo de unidades de capacidad por cuenta capacidad de escritura
Todas las demás regiones: 10 000 unidades de capacidad

Número máximo de unidades de capacidad por tabla o índice capacidad de escritura
secundario global
Todas las demás regiones: 20 000 unidades de capacidad

Número máximo de unidades de capacidad por cuenta capacidad de escritura
Número máximo de tablas 256
For information about additional documented limits, see Limits in Amazon DynamoDB en la Amazon
DynamoDB Developer Guide.
Límites de Amazon EC2 Container Registry

(Amazon ECR)
Número máximo de repositorios por cuenta 1 000
Número máximo de imágenes por repositorio 1 000
Para obtener más información sobre otros límites documentados, consulte Amazon ECR Service Limits en
la Amazon EC2 Container Registry User Guide.
Version 1.0
160
Límites de Amazon EC2 Container Service (Amazon ECS)
Límites de Amazon EC2 Container Service

(Amazon ECS)
Número de clústeres por región por cuenta 1 000
Número de instancias de contenedor por clúster 1 000
Número de servicios por clúster 500
Para obtener más información sobre otros límites documentados, consulte Amazon ECS Service Limits en
la Amazon EC2 Container Service Developer Guide.
Límites de Amazon EC2 Systems Manager

Instancias administradas 500
Cada cuenta de AWS puede

registrar/activar un máximo de
500 instancias administradas en
una región.
Documentos de Systems Manager 200

crear un máximo de 200
documentos por región.
Documento de Systems Manager compartido privadamente 20
Un mismo documento de
Systems Manager se puede
compartir con un máximo de 20
cuentas de AWS.
Documento de Systems Manager compartido públicamente 5

compartir públicamente un
máximo de cinco documentos.
Asociaciones de documentos 10 000
Cada documento de Systems

Manager puede asociarse a un
máximo de 10 000 instancias.
Datos de inventario recopilados por instancia por llamada 1 MB
Este máximo es suficiente para

la mayoría de los escenarios de
Version 1.0
161
Límites de Amazon EC2 Systems Manager

recopilación de inventarios. Una
vez alcanzado el límite, dejan
de recopilarse nuevos datos de
inventario para la instancia. Los
datos de inventario recopilados
previamente se almacenan hasta
que caducan.
Datos de inventario recopilados por instancia por día 5 MB
Una vez alcanzado el límite,

dejan de recopilarse nuevos
datos de inventario para la
instancia. Los datos de inventario
recopilados previamente se
almacenan hasta que caducan.
Tipos de inventario personalizados 20
Puede añadir hasta 20 tipos de

inventario personalizados.
Tamaño del tipo de inventario personalizado 4 KB
Este es el tamaño máximo del

tipo, no del inventario recopilado.
Atributos del tipo de inventario personalizado 50
Este es el número máximo de

atributos del tipo de inventario
personalizado.
Caducidad de los datos de inventario 30 días
Al finalizar una instancia,

los datos de inventario
correspondientes a ella se
eliminan de inmediato. Para
las instancias en ejecución,
se eliminan los datos de
inventario con más de 30 días
de antigüedad. Si necesita
almacenar datos de inventario
durante más de 30 días, puede
usar AWS Config para registrar
el historial o para realizar una
consulta periódica y cargar
los datos en un bucket de
Amazon S3. Para obtener más
información, consulte Recording
Amazon EC2 managed instance
inventory en la AWS Config
Developer Guide.
Tiempos de mantenimiento por cuenta 50
Version 1.0
162
Límites de AWS Elastic Beanstalk
Tareas por tiempo de mantenimiento 20
Destinos por tiempo de mantenimiento 50
ID de instancia por destino 50
Destinos por tarea 10
Ejecuciones simultáneas de un mismo tiempo de mantenimiento 1
Ejecuciones simultáneas de tiempos de mantenimiento 5
Retención del historial de ejecución de tiempos de mantenimiento 30 días
Número máximo de parámetros por cuenta 1 000
Tamaño máximo de valor de parámetro 4 096 caracteres
Historial máximo de un parámetro 100 últimos valores
Bases de referencia de parches por cuenta 25
Grupos de parches por base de referencia de parche 25
Límites de AWS Elastic Beanstalk

Aplicaciones 75
Versiones de aplicaciones 1 000
Entornos 200
Límites de Amazon Elastic Block Store (Amazon

EBS)
Número de volúmenes de EBS 5 000
Número de instantáneas de EBS 10 000
Volumen total de almacenamiento de los volúmenes SSD de uso 20 TiB

general (gp2)
Volumen total del almacenamiento de volúmenes SSD de IOPS 20 TiB

provisionadas (io1)
Volumen total de almacenamiento de HDD de rendimiento 20 TiB

optimizado (st1)
Volumen de almacenamiento total de HDD en frío (sc1) 20 TiB
Version 1.0
163
Límites de Amazon Elastic Compute Cloud (Amazon EC2)
Volumen total de almacenamiento de volúmenes magnéticos 20 TiB
IOPS provisionadas totales 40 000
For information about additional documented limits, see Amazon EC2 Service Limits en la Guía del usuario
de Amazon EC2 para instancias de Linux.
Límites de Amazon Elastic Compute Cloud

(Amazon EC2)
Direcciones IP elásticas para EC2-Classic 5
Grupos de seguridad de EC2-Classic por instancia 500
Reglas por grupo de seguridad de EC2-Classic 100
Pares de claves 5 000
Limitación de los correos electrónicos que pueden enviarse desde su Limitación aplicada
cuenta de Amazon EC2
Instancias a petición Los límites varían en función del

tipo de instancia. Para obtener
más información, consulte
¿Cuántas instancias puedo
ejecutar en Amazon EC2?
Instancias de subasta Los límites varían en función

del tipo de instancia, la región
y la cuenta. Para obtener más
información, consulte Spot
Instance Limits.
Instancias reservadas 20 reservas de instancias por

zona de disponibilidad al mes.
Hosts dedicados Se pueden asignar hasta dos

hosts dedicados por familia de
instancias por región.
Copias de AMI Las regiones de destino están

limitadas a 50 copias de AMI
simultáneas en un momento
dado, con un máximo de 25 de
ellas procedentes de una misma
región de origen.
Para obtener información sobre los límites relacionados para EC2-VPC, consulte Límites de Amazon
Virtual Private Cloud (Amazon VPC) (p. 183).
Version 1.0
164
Límites de Amazon Elastic File System
Para obtener más información sobre cómo consultar los límites actuales, consulte Amazon EC2 Service
Limits en la Guía del usuario de Amazon EC2 para instancias de Linux.
Límites de Amazon Elastic File System

Rendimiento total por sistema de archivos 3 GB/s para todos los clientes conectados
For information about additional documented limits, see Amazon EFS Limits en la Amazon Elastic File
System User Guide.
Límites de Elastic Load Balancing

Elastic Load Balancing admite dos tipos de balanceadores de carga: Application Load Balancers y Classic
Load Balancers.
Application Load Balancers
Balanceadores de carga por región 20 †
Grupos de destino por región 200
Agentes de escucha por balanceador de carga 10
Destinos por balanceador de carga 1 000
Subredes por zona de disponibilidad por balanceador de carga 1
Grupos de seguridad por balanceador de carga 5
Reglas (sin contar las predeterminadas) por balanceador de carga 75
Número de veces que se puede registrar un destino por balanceador 100

de carga
Balanceadores de carga por grupo de destino 1
Destinos por grupo de destino 1 000
Classic Load Balancers
Balanceadores de carga por región 20 †
Agentes de escucha por balanceador de carga 100
Grupos de seguridad por balanceador de carga 5
Subredes por zona de disponibilidad por balanceador de carga 1
Version 1.0
165
Límites de Amazon Elastic Transcoder
† Este límite incluye los Application Load Balancers y los Classic Load Balancers. Puede solicitar un
aumento de este límite.
Límites de Amazon Elastic Transcoder

Canalizaciones por región 4
Valores predeterminados definidos por el usuario 50
Número máximo de trabajos procesados Región EE.UU. Este (Norte de Virginia) – 20

simultáneamente por cada canalización
US West (N. California) Region – 12
US West (Oregon) Region – 20
Asia Pacific (Mumbai) Region – 12
Asia Pacific (Singapore) Region – 12
Asia Pacific (Sydney) Region – 12
Asia Pacific (Tokyo) Region – 12
EU (Ireland) Region – 20
Pueden tardarse hasta dos semanas en procesar las solicitudes de aumento del límite.
For information about additional documented limits, see los límites de Amazon Elastic Transcoder en la
Amazon Elastic Transcoder Developer Guide.
Límites de Amazon ElastiCache

Recurso Límite predeterminado Descripción
Nodos por región 100 Número máximo de nodos para

todos los clústeres de una región.
Nodos por clúster (Memcached) 20 Número máximo de nodos de un

clúster de Memcached individual.
Nodos por clúster (Redis) 1 Número máximo de nodos de un

clúster de Redis individual.
Clusters por grupo de replicación 6 Número máximo de clústeres

(Redis) de un grupo de replicación de
Redis. Uno es la entidad principal
de lectura/escritura. Todos los
demás son réplicas de solo
lectura.
Grupos de parámetros por región 20 Número máximo de grupos de

parámetros que se pueden crear
en una región.
Version 1.0
166
Límites de Amazon Elasticsearch Service
Recurso Límite predeterminado Descripción
Grupos de seguridad por región 50 Número máximo de grupos de

seguridad que se pueden crear
en una región.
Grupos de subredes por región 50 Número máximo de grupos de

subredes que se pueden crear
en una región.
Subredes por grupo de subredes 20 Número máximo de subredes

que se pueden definir para un
grupo de subredes.
Estos límites son globales para cada cuenta de cliente. Si desea superar estos límites, puede solicitarlo
mediante el formulario de solicitud de nodos de ElastiCache.
Límites de Amazon Elasticsearch Service

Número de instancias de Amazon ES por clúster 20 (excepto para los tipos de instancia T2, que
tienen un máximo de 10).
Note
El límite predeterminado es de 20
instancias por dominio. Para solicitar un
aumento de hasta 100 instancias por
dominio, cree un caso en el Centro de
AWS Support.
Límites de Amazon GameLift

Alias 20
Flotas 20
Compilaciones 1 000
Tamaño total de las compilaciones 100 GB
Tamaño de carga de registro por sesión de juego 200 MB
Instancias a petición Los límites varían en función del tipo de instancia;
20 instancias por cuenta, independientemente del

tipo de instancia
Procesos de servidor por instancia 1 con GameLift SDK v2.x
50 con GameLift SDK v3.x o superior
Version 1.0
167
Límites de AWS Identity and Access Management (IAM)
Sesiones de jugador por sesión de juego 200
For information about additional documented limits, see Scaling Amazon Elastic Compute Cloud (Amazon
EC2) Instances en la Amazon GameLift Developer Guide.
Límites de AWS Identity and Access Management

(IAM)
Grupos por cuenta 100
Perfiles de instancias 100
Roles 250
Certificados de servidor 20
Usuarios 5 000
For information about additional documented limits, see Limitations on IAM Entities and Objects en la Guía
del usuario de IAM.
Límites de AWS Import/Export

AWS Snowball (Snowball)
predeterminado
Snowball 1 Para aumentar este límite, póngase en

contacto con AWS Support.
Límites de Amazon Inspector

Agentes en ejecución 500
Ejecuciones de evaluación 50 000
Plantillas de evaluación 500
Destinos de evaluación 50
Para obtener más información, consulte la Amazon Inspector User Guide.
Version 1.0
168
Límites de AWS IoT
Límites de AWS IoT

Límites de agentes de mensajes
Tamaño de ID de cliente 128 bytes de caracteres con codificación UTF-8.
Inactividad de conexión (intervalo keep-alive) De forma predeterminada, una conexión de cliente

MQTT se desconecta después de 30 minutos de
inactividad. Cuando el cliente envía un mensaje
PUBLISH, SUBSCRIBE, PING o PUBACK, se
restablece el temporizador de inactividad.
Un cliente puede solicitar un intervalo keep-alive

más breve especificando un valor comprendido
entre 5 y 1 200 segundos en el mensaje MQTT
CONNECT enviado al servidor. Si se especifica un
valor keep-alive, el servidor desconecta el cliente
si no recibe un mensaje PUBLISH, SUBSCRIBE
PINGREQ o PUBACK en un período de 1,5 veces
el intervalo solicitado. El temporizador keep-alive
se inicia después de que el remitente envíe el
mensaje CONNACK.
Si un cliente envía un valor keep-alive de cero,

se mantiene el comportamiento keep-alive
predeterminado.
Si un cliente solicita un intervalo keep-alive inferior

a 5 segundos, el servidor trata al cliente como
si hubiera solicitado un intervalo keep-alive de 5
segundos.
El temporizador keep-alive se inicia

inmediatamente después de que el servidor
devuelva el mensaje CONNACK al cliente. Puede
que se produzca un breve retraso desde que el
cliente envíe un mensaje CONNECT hasta que se
inicie el comportamiento keep-alive.
Solicitudes de conexión por segundo por cuenta AWS IoT limita una cuenta a un máximo de 300
solicitudes MQTT CONNECT por segundo.
Número máximo de barras diagonales en el tema y Un tema proporcionado al publicar un mensaje o

el filtro de tema un filtro de tema proporcionado al suscribirse no
puede tener más de 7 barras diagonales (/).
Número máximo de mensajes entrantes sin El agente de mensajes permite 100 mensajes en
confirmar curso sin confirmar por cliente. Este límite se aplica
a todos los mensajes que requieren ACK. Una vez
alcanzado este límite, no se aceptarán nuevos
mensajes de este cliente hasta que el servidor
devuelva un mensaje ACK.
Número máximo de mensajes salientes sin El agente de mensajes permite solo 100 mensajes
confirmar en curso sin confirmar por cliente. Este límite se
aplica a todos los mensajes que requieren ACK.
Version 1.0
169
Una vez alcanzado este límite, no se enviará

ningún mensaje nuevo al cliente hasta que este
confirme los mensajes en curso.
Intervalo máximo de reintento para la entrega de Si un cliente no consigue recibir un mensaje ACK
mensajes QoS 1 o QoS 1 durante una hora, el agente de mensajes
elimina ese mensaje. El cliente podría no recibir
el mensaje si tiene 100 mensajes en tránsito, está
sometido a una limitación a causa de cargas de
gran tamaño, o se produce algún otro error.
Número máximo de suscripciones por llamada de Una misma llamada SUBSCRIBE solo puede
suscripción solicitar un máximo de ocho suscripciones.
Tamaño del mensaje La carga de cada mensaje PUBLISH está limitada

a 128 KB. El servicio AWS IoT rechaza los
mensajes que superan este tamaño.
Solicitudes de publicación por segundo por cuenta 9 000 por segundo por cuenta (publicaciones
entrantes, máx. 3 000 por segundo; publicaciones
salientes, máx. 6 000 por segundo)
Se cuentan las publicaciones entrantes para todos

los mensajes que el agente de mensajes procesa
antes de enrutar los mensajes a los clientes
suscritos o al motor de reglas. Por ejemplo,
un único mensaje publicado en el tema $aws/
things/device/shadow/update puede dar lugar a
que se publiquen tres mensajes más en los temas
$aws/things/device/shadow/update/accepted,
$aws/things/device/shadow/update/documents
y $aws/things/device/shadow/delta. En este
caso, AWS IoT los cuenta como 4 publicaciones
entrantes para calcular el límite. Sin embargo, un
único mensaje en un solo tema no reservado como
"a/b" cuenta como una sola publicación entrante.
Se cuentan las publicaciones salientes para

todos los mensajes que han dado lugar a una
coincidencia con una suscripción de cliente o con
una suscripción del motor de reglas. Por ejemplo,
dos clientes están suscritos al filtro de tema 'a/b'
y una regla está suscrita al filtro de tema 'a/#'. Un
mensaje de publicación entrante en el tema “a/b”
dará lugar a un total de 3 publicaciones salientes.
Note
Las publicaciones entrantes y salientes

no se pueden compensar entre sí;
por ejemplo, aunque solo se usen
1 000 publicaciones entrantes por
segundo, el número máximo de
publicaciones salientes por segundo sigue
siendo 6 000.
Prefijo de ID de cliente restringido “$” está reservado para los ID de cliente generados
internamente.
Version 1.0
170
Prefijo de tema restringido Los temas que comienzan por “$” se consideran
reservados y no se puedan utilizar para publicar ni
realizar suscripciones, excepto cuando se trabaje
con el servicio Thing Shadows.
Suscripciones por segundo por cuenta AWS IoT limita una cuenta a un máximo de 500
suscripciones por segundo. Por ejemplo, si hay dos
llamadas MQTT SUBSCRIBE en un segundo con 3
suscripciones (filtros de tema) cada una, AWS IoT
las contará como 6 suscripciones al calcular este
límite.
Suscripciones por sesión El agente de mensaje limita cada sesión de cliente

de modo que pueda suscribirse a un máximo
de 50 suscripciones. Una solicitud SUBSCRIBE
que provoca un aumento del número total de
suscripciones por encima de 50 da lugar a la
desconexión de la conexión.
Tamaño de nombre de cosa 128 bytes de caracteres con codificación UTF-8.

Este límite se aplica tanto al registro de cosas
como a los servicios Thing Shadow.
Rendimiento por conexión AWS IoT limita la tasa de entrada y salida en

cada conexión de cliente a 512 KB/s. Los datos
enviados o recibidos con una tasa mayor se limitan
a este rendimiento.
Tamaño de tema El tema que se pasa al agente de mensajes al

publicar un mensaje no puede superar los 256
bytes de caracteres con codificación UTF-8.
Version 1.0
171
Límites de Device Shadow
Duración de conexión WebSocket Las conexiones WebSocket tienen una limitación

de 24 horas. Si se sobrepasa el límite, la conexión
WebSocket se cierra automáticamente cuando el
cliente o el servidor intentan enviar un mensaje.
Para mantener una conexión WebSocket activa
durante más de 24 horas, solo tiene que cerrar y
volver a abrir la conexión WebSocket desde el lado
del cliente antes de que transcurra ese plazo.
AWS IoT admite los valores keep-alive

especificados en los mensajes MQTT CONNECT.
Cuando un cliente especifica un valor keep-alive,
el cliente indica al servidor que desconecte el
cliente y transmita un mensaje de última voluntad
asociado con la sesión de MQTT en caso de
que el servidor no reciba un mensaje (PUBLISH,
SUBSCRIBE, PUBACK, PINGREQ) antes de que
transcurra 1,5 veces el periodo keep-alive. AWS
IoT admite valores keep-alive comprendidos entre
5 segundos y 20 minutos. Si un cliente solicita
no keep-alive (es decir, establece el campo a
0 en el mensaje MQTT CONNECT), el servidor
establece el valor keep-alive en 20 minutos,
que se corresponde con el tiempo máximo de
inactividad que AWS IoT admite, de 30 minutos. La
mayoría de los clientes MQTT (incluido AWS SDK)
admiten los valores keep-alive mediante el envío
de PINGREQ si el periodo keep-alive transcurre
sin que el cliente haya transmitido ningún otro
mensaje.
Límites de Device Shadow
Profundidad máxima de los documentos de estado El número máximo de niveles de la sección

de dispositivos JSON desired o reported del documento de estado de
dispositivos JSON es de 5. Por ejemplo:
"desired": {
"one": {
"two": {
"three": {
"four": {
"five":{
}
}
}
}
}
}
Número máximo de mensajes en tránsito sin El servicio Thing Shadows admite hasta 10
confirmar mensajes en tránsito sin confirmar. Cuando se
alcanza este límite, todas las nuevas solicitudes de
sombras se rechazan con un código de error 429.
Version 1.0
172
Límites de seguridad e identidad
Número máximo de objetos JSON por cuenta de No existe ningún límite respecto al número de
AWS objetos JSON por cuenta de AWS.
Tamaño máximo de un documento de estado 8 KB.

JSON
Tamaño máximo de un nombre de cosa 128 bytes de caracteres con codificación UTF-8.
Duración de una sombra AWS IoT elimina una sombra de cosa si no se ha

actualizado o recuperado en más de un año.
Límites de seguridad e identidad

Número máximo de certificados CA con el mismo 10
campo de asunto permitidos por cuenta de AWS
por región
Número máximo de políticas que se pueden 10

adjuntar a un certificado o identidad de Amazon
Cognito
Número máximo de las versiones de políticas con 5

nombre
Tamaño máximo de documento de política 2 048 caracteres (excluidos los espacios en

blanco)
Número máximo de certificados de dispositivos que 15

se pueden registrar por segundo
Límites de limitación
API Transacciones por segundo
AcceptCertificateTransfer 10
AttachPrincipalPolicy 15
AttachThingPrincipal 15
CancelCertificateTransfer 10
CreateCertificateFromCsr 15
CreatePolicy 10
CreatePolicyVersion 10
CreateThing 15
CreateThingType 15
DeleteCertificate 10
DeleteCACertificate 10
Version 1.0
173
Límites de limitación
DeletePolicy 10
DeletePolicyVersion 10
DeleteThing 15
DeleteThingType 15
DeprecateThingType 15
DescribeCertificate 10
DescribeCACertificate 10
DescribeThing 10
DescribeThingType 10
DetachThingPrincipal 15
DetachPrincipalPolicy 15
DeleteRegistrationCode 10
GetPolicy 10
GetPolicyVersion 15
GetRegistrationCode 10
ListCACertificates 10
ListCertificates 10
ListCertificatesByCA 10
ListOutgoingCertificates 10
ListPolicies 10
ListPolicyPrincipals 10
ListPolicyVersions 10
ListPrincipalPolicies 15
ListPrincipalThings 10
ListThings 10
ListThingPrincipals 10
ListThingTypes 10
RegisterCertificate 10
RegisterCACertificate 10
RejectCertificateTransfer 10
SetDefaultPolicyVersion 10
Version 1.0
174
Límites del motor de reglas de AWS IoT
TransferCertificate 10
UpdateCertificate 10
UpdateCACertificate 10
UpdateThing 10
Límites del motor de reglas de AWS IoT

Número máximo de reglas por cuenta de AWS 1 000
Acciones por regla Se puede definir un máximo de 10 acciones por

regla.
Tamaño de regla Hasta 256 KB de caracteres con codificación

UTF-8 (incluidos los espacios en blanco).
Límites de AWS Key Management Service (AWS

KMS)
Claves maestras de cliente (CMK) 1 000
Alias 1 100
Concesiones por CMK 2 500
Concesiones para una entidad principal por CMK 30
Solicitudes por segundo Varía según la operación de

la API; consulte Limits en la
Developer Guide.
Todos los límites de la tabla anterior se aplican por región y por cuenta de AWS.
For information about additional documented limits, see Limits en la AWS Key Management Service
Developer Guide.
Límites de Amazon Kinesis Firehose

Flujos de entrega por región 20
Capacidad de flujo de entrega† 2 000 transacciones/segundo
5 000 registros/segundo
Version 1.0
175
Límites de Amazon Kinesis Streams

5 MB/segundo
† Los tres límites de capacidad se escalan proporcionalmente. Por ejemplo, si se incrementa el límite
de rendimiento a 10 MB/segundo, los demás límites aumentan a 4 000 transacciones/segundo y 10 000
registros/segundo.
For information about additional documented limits, see Amazon Kinesis Firehose Limits en la Amazon
Kinesis Firehose Developer Guide.
Límites de Amazon Kinesis Streams

Fragmentos por región Región EE.UU. Este (Norte de Virginia) – 50
US West (Oregon) Region – 50
EU (Ireland) Region – 50
Todas las demás regiones compatibles – 25
For information about additional documented limits, see Amazon Kinesis Streams Limits en la Amazon
Kinesis Streams Developer Guide.
Límites de AWS Lambda

Recurso Límite
Limitación de seguridad de solicitudes simultáneas por cuenta 100
For information about additional documented limits, see AWS Lambda Limits en la AWS Lambda Developer
Guide.
Límites de Amazon Lightsail

Recurso Límite Comentario
predeterminado
Número de instancias 20 por cuenta Este límite no se puede aumentar.
Número de direcciones IP elásticas 5 por cuenta Este límite no se puede aumentar.
Número de conexiones SSH paralelas 3 x el número de Este límite no se puede aumentar.

instancias de la
cuenta
Número de zonas alojadas 3 por cuenta Este límite no se puede aumentar.
Version 1.0
176
Límites de Amazon Machine Learning (Amazon ML)
Límites de Amazon Machine Learning (Amazon ML)

Tamaño de archivo de datos* 100 GB
Tamaño de entrada de predicción por lotes 1 TB
Entrada de predicción por lotes (número de registros) 100 millones
Número de variables de un archivo de datos (esquema) 1 000
Complejidad de receta (número de variables de salida procesadas) 10 000
Transacciones por segundo para cada punto de conexión de 200

predicción en tiempo real
Transacciones totales por segundo para todos los puntos de 10 000

conexión de predicción en tiempo real
Total de RAM de todos los puntos de conexión de predicción en 10 GB

tiempo real
Número de trabajos simultáneos 5
Tiempo de ejecución máximo para cualquier trabajo 7 días
Número de clases para modelos de ML multiclase 100
Tamaño de modelo de ML 2 GB
Note
El tamaño de los archivos de datos se limita para asegurarse de que los trabajos finalicen
puntualmente. Los trabajos que llevan ejecutándose más de siete días se finalizan
automáticamente, lo que da lugar al estado FAILED.
For information about additional documented limits, see Amazon ML Limits en la Amazon Machine
Learning Developer Guide.
Límites de AWS OpsWorks for Chef Automate

Servidores de Chef 5
Generaciones de backups iniciadas por el usuario (manuales) 10
Generaciones de backups automatizadas (programadas) 30
Límites de AWS OpsWorks Stacks

Pilas 40
Version 1.0
177
Límites de AWS Organizations
Capas por pila 40
Instancias por pila 40
Aplicaciones por pila 40
Límites de AWS Organizations

Cuentas por organización 20
Invitaciones enviadas cada día 20
For information about additional documented limits, see Limits of AWS Organizations en la AWS
Organizations User Guide.
Límites de Amazon Polly

• Tasa de limitación por dirección IP: 100 transacciones (solicitudes) por segundo (tps) con un límite de
ráfaga de 120 tps.
• Tasa de limitación por operación:
Tasa de limitación por operación
Operation Límite
Lexicon
DeleteLexicon 2 transacciones por segundo (tps) cualesquiera de estas

operaciones combinados.
PutLexicon
Ráfaga máxima permitida de 4 tps.
GetLexicon
ListLexicons
Speech
DescribeVoices 80 rps con un límite de ráfaga de 100 tps
SynthesizeSpeech 80 rps con un límite de ráfaga de 100 tps
Límites de Amazon Pinpoint

Campañas activas por cuenta 100
Version 1.0
178
Límites de Amazon Redshift
Aplicaciones por cuenta 100
Trabajos de importación de puntos de conexión simultáneos por 2

cuenta
Tipos de eventos personalizados por aplicación 1 500
Atributos personalizados de punto de conexión por aplicación 40
Puntos de conexión por usuario de aplicaciones móviles 10
Envíos de mensajes por actividad de campaña 100 millones
Segmentos por aplicación 200
Tamaño de archivo total por trabajo de importación de punto de 1 GB

conexión
Límites de Amazon Redshift

Nodos por clúster 101
Nodos 200
Nodos reservados 200
Snapshots 20
Grupos de parámetros 20
Grupos de seguridad 20
Grupos de subredes 20
Subredes por grupo de subredes 20
Suscripciones de eventos 20
For information about additional documented limits, see Limits in Amazon Redshift en la Amazon Redshift
Cluster Management Guide.
Límites de Amazon Relational Database Service

(Amazon RDS)
Clústeres 40
Grupos de parámetros de clústeres 50
Version 1.0
179
Límites de Amazon Route 53
Instancias de base de datos 40
Suscripciones de eventos 20
Instantáneas manuales 100
Instantáneas de clústeres manuales 50
Grupos de opciones 20
Grupos de parámetros 50
Réplicas de lectura por nodo maestro 5
Instancias reservadas (adquiridas por mes) 40
Reglas por grupo de seguridad 20
Grupos de seguridad 25
Grupos de seguridad (VPC) 5
Grupos de subredes 50
Subredes por grupo de subredes 20
Etiquetas por recurso 50
Almacenamiento total para todas las instancias de base de datos 100 TB
Límites de Amazon Route 53

Zonas alojadas 500
Dominios 50
Conjuntos de registros de recursos por zona alojada 10 000
Conjuntos de delegación reutilizables 100
Zonas alojadas que pueden utilizar el mismo conjunto de delegación 100

reutilizable
Amazon VPC s que se puede asociar con una zona alojada privada 100
Comprobaciones de estado 50
Políticas de tráfico 50
Registros de políticas 5
For information about additional documented limits, see Amazon Route 53 Limits en la Guía para
desarrolladores de Amazon Route 53.
Version 1.0
180
Límites de AWS Server Migration Service
Límites de AWS Server Migration Service

Migraciones simultáneas de máquinas virtuales 50 por cuenta
Duración máxima de uso del servicio por máquina virtual (no por 90 días
cuenta), comenzando por la replicación inicial de una máquina
virtual. Finalizamos una réplica que continúe en curso transcurrido
este período, a menos que un cliente solicite un aumento del límite.
Límites de AWS Service Catalog

Carteras 25 por cuenta
Usuarios, grupos y roles 25 por cartera
Productos 25 por cartera, 25 totales por

cuenta
Versiones de producto 50 por producto
Restricciones 25 por producto por cartera
Etiquetas 20 por producto, 20 por cartera,

50 por producto aprovisionado
Pilas 200 (límite de AWS

CloudFormation)
Límites de AWS Shield Advanced

AWS Shield Advanced ofrece protección y monitorización avanzadas para un máximo de
100 distribuciones de CloudFront, zonas alojadas de Amazon Route 53 o recursos de Elastic Load
Balancing combinados.
Límites de Amazon Simple Email Service (Amazon

SES)
Los siguientes son los límites predeterminados de Amazon SES en el entorno de pruebas.
Cuota de envío diaria 200 mensajes en cada periodo

de 24 horas.
Tasa máxima de envío 1 correo electrónico por segundo.
Version 1.0
181
Límites de Amazon Simple
Notification Service (Amazon SNS)

Note
La tasa de aceptación
de mensajes en Amazon
SES podría ser inferior
a la tasa máxima de
envío.
Comprobación de direcciones de los destinatarios Se deben comprobar todas las

direcciones de los destinatarios.
For information about additional documented limits, see Limits in Amazon SES en la Amazon Simple Email
Service Developer Guide.
Límites de Amazon Simple Notification Service

(Amazon SNS)
Temas 100 000
Umbral de gasto de cuenta por SMS 1,00 USD
Tasa de entrega de mensajes SMS promocionales 20 mensajes por segundo
Tasa de entrega de mensajes SMS transaccionales 20 mensajes por segundo
Para aumentar cualquiera de estos límites, envíe una solicitud.
Límites de limitación de API de Amazon SNS

ListEndpointsByPlatformApplication 30
ListTopics 30
ListPlatformApplications 15
ListSubscriptions 30
ListSubscriptionsByTopic 30
Subscribe 100
Unsubscribe 100
Version 1.0
182

Para obtener más información sobre otros límites documentados, consulte Límites y restricciones en las
Preguntas frecuentes sobre Amazon SQS y Amazon SQS Limits en la Amazon Simple Queue Service
Developer Guide.
Límites de Amazon Simple Storage Service

(Amazon S3)
Buckets 100 por cuenta
For information about additional documented limits, see los límites de Amazon S3 en la Guía para
desarrolladores de Amazon Simple Storage Service.
Límites de Amazon Simple Workflow Service

(Amazon SWF)
For information about additional documented limits, see Amazon SWF Service Limits en la Amazon Simple
Workflow Service Developer Guide.
Límites de Amazon SimpleDB

Dominios 250
For information about additional documented limits, see Amazon SimpleDB Limits en la Amazon SimpleDB
Developer Guide.
Límites de Amazon Virtual Private Cloud (Amazon

VPC)
predeterminado
VPC por región 5 El límite de gateways de Internet por región

está directamente relacionado con este. Al
aumentar este límite, aumenta el límite de
gateways de Internet región en la misma
cantidad. Para aumentar este límite, puede
enviar una solicitud.
Version 1.0
183
Límites de Amazon Virtual Private Cloud (Amazon VPC)

predeterminado
Subredes por VPC 200 Para aumentar este límite, puede enviar una
solicitud.
Gateways de Internet por región 5 Este límite está directamente relacionado

con el límite de VPC por región. No puede
aumentar este límite individualmente; la
única forma de aumentar este límite es
aumentar el límite de VPC por región. Solo
se puede adjuntar una gateway de Internet a
una VPC a la vez.
Gateways de Internet de solo salida por 5 Este límite está directamente relacionado
región con el límite de VPC por región. No puede
aumentar este límite individualmente; la
única forma de aumentar este límite es
aumentar el límite de VPC por región. Solo
se puede adjuntar una gateway de Internet
de solo salida a una VPC a la vez.
Gateways privadas virtuales por región 5 Para aumentar este límite, póngase en
contacto con AWS Support; no obstante,
solo se puede adjuntar una gateway privada
virtual a una VPC a la vez.
Gateways de cliente por región 50 Para aumentar este límite, póngase en

contacto con AWS Support.
Conexiones de VPN por región 50 Para aumentar este límite, puede enviar una
solicitud.
Conexiones de VPN por VPC (por gateway 10 Para aumentar este límite, puede enviar una
privada virtual) solicitud.
Tablas de rutas por VPC 200 Incluida la tabla de rutas principal. Puede
asociar una tabla de rutas a una o varias
subredes en una VPC.
Rutas por tabla de rutas (rutas no 50 Este es el límite del número de entradas no
propagadas) propagadas por tabla de rutas. Puede enviar
una solicitud de aumento de hasta 100; no
obstante, el rendimiento de red podría verse
afectado. Este límite se aplica de forma
independiente para las rutas IPv4 e IPv6
(50 de cada tipo, con un máximo de 100 de
cada tipo).
Version 1.0
184

predeterminado
Rutas anunciadas de BGP por tabla de rutas 100 Puede tener hasta 100 rutas propagadas por
(rutas propagadas) tabla de rutas; sin embargo, el número total
de entradas propagadas y no propagadas
por tabla de rutas no puede ser mayor que
100. Por ejemplo, si tiene 50 entradas no
propagadas (el límite predeterminado para
este tipo de entrada), solo puede tener 50
entradas propagadas. Este límite no se
puede aumentar. Si necesita más de 100
prefijos, anuncie una ruta predeterminada.
Direcciones IP elásticas por región por cada 5 Este es el límite para el número de
cuenta de AWS direcciones IP elásticas de VPC que se
pueden asignar dentro de una región. Se
trata de un límite independiente del límite de
direcciones IP elásticas de Amazon EC2.
Para aumentar este límite, puede enviar una
solicitud.
Grupos de seguridad por VPC 500 Para aumentar este límite, puede enviar una
solicitud.
Reglas entrante o salientes por grupo de 50 Puede tener 50 reglas entrantes y 50

seguridad salientes por grupo de seguridad (lo que
supone un total de 100 reglas entrantes
y salientes combinadas). Para aumentar
o disminuir este límite, puede ponerse en
contacto con AWS Support; un cambio de
límite se aplica tanto a las reglas entrantes
como a las salientes. Sin embargo, el
múltiplo del límite para las reglas entrantes o
salientes por grupo de seguridad y el límite
para los grupos de seguridad por interfaz
de red no puede superar 250. Por ejemplo,
si aumenta el límite a 100, reduciremos el
número de grupos de seguridad por interfaz
de red a 2.
Este límite se aplica de forma independiente

para las reglas IPv4 e IPv6. Una regla que
hace referencia a un grupo de seguridad
cuenta como una regla para IPv4 y una
regla para IPv6.
Grupos de seguridad por interfaz de red 5 Para aumentar o disminuir este límite, puede
ponerse en contacto con AWS Support. El
máximo es 16. El múltiplo del límite para los
grupos de seguridad por interfaz de red y el
límite para las reglas por grupo de seguridad
no puede superar 250. Por ejemplo, si
desea 10 grupos de seguridad por interfaz
de red, reduciremos el número de normas
por grupo de seguridad a 25.
Version 1.0
185

predeterminado
Interfaces de red por instancia - Este límite varía en función del tipo de
instancia. Para obtener más información,
consulte IP Addresses Per ENI Per Instance
Type.
Interfaces de red por región 350 Este límite es el mayor entre el límite
predeterminado (350) o su límite de
instancias a petición multiplicado por 5.
El límite predeterminado de instancias a
petición es 20. Si su límite de instancias a
petición es inferior a 70, se aplica el límite
predeterminado de 350. Si desea aumentar
el número de interfaces de red por región,
póngase en contacto con AWS Support, o
bien incremente su límite de instancias a
petición.
ACL de red por VPC 200 Puede asociar una ACL de red de una o
varias subredes de una VPC. Este límite no
es el mismo que el número de reglas por
ACL de red.
Reglas por ACL de red 20 Este es el límite unidireccional para una sola
red ACL, donde el límite para las reglas de
entrada es 20 y el límite para las de salida
es 20. Este límite incluye las reglas tanto
IPv4 como IPv6, así como las reglas de
denegación predeterminada (número de
regla 32767 para IPv4 y 32768 para IPv6,
o un asterisco* en la consola de Amazon
VPC).
Este límite puede aumentarse a petición

hasta un máximo de 40; sin embargo, el
rendimiento de la red puede verse afectado
debido al aumento de la carga de trabajo
para procesar las reglas adicionales.
Interconexiones de VPC activas por VPC 50 Para aumentar este límite, póngase en
contacto con AWS Support. El límite máximo
es de 125 interconexiones por VPC. El
número de entradas por tabla de rutas
debe aumentarse en consecuencia; sin
embargo, el rendimiento de la red podría
verse afectado.
Solicitudes de interconexión de VPC 25 Este es el límite para el número de

pendientes solicitudes de interconexión de VPC
pendientes que ha solicitado desde su
cuenta. Para aumentar este límite, póngase
en contacto con AWS Support.
Tiempo de caducidad de una solicitud de 1 semana Para aumentar este límite, póngase en
interconexión de VPC no aceptada (168 contacto con AWS Support.
horas)
Version 1.0
186
Límites de AWS WAF

predeterminado
Puntos de conexión de la VPC por región 20 Para aumentar este límite, póngase en
contacto con AWS Support. El límite máximo
es de 255 puntos de conexión por VPC,
independientemente del límite de puntos de
conexión por región.
Registros de flujo por cada interfaz de red, 2 En realidad, puede tener 6 registros de flujo
subred o VPC individual de una región por interfaz de red si crea 2 registros de flujo
para la subred y 2 registros de flujo para la
VPC en la que reside la interfaz de red. Este
límite no se puede aumentar.
Gateways NAT por zona de disponibilidad 5 Para aumentar este límite, puede enviar
una solicitud. Una gateway NAT con el
estado pending, active o deleting cuenta
al calcular el límite.
For information about additional documented limits, see Amazon VPC Limits en la Amazon VPC User
Guide.
Límites de AWS WAF

AWS WAF tiene límites predeterminados del número de entidades por cuenta. Puede solicitar un aumento
de dichos límites.
Recurso Límite
predeterminado
ACL web por cuenta de AWS 50
Reglas por cuenta de AWS 100
Condiciones por cuenta de AWS 100 de cada tipo

de condición
(por ejemplo:
100 condiciones
de restricción
de tamaño, 100
condiciones de
coincidencia IP,
etc.)
Solicitudes por segundo 10 000 por ACL

web*
Rangos de direcciones IP (en notación CIDR) por condición de coincidencia IP 1 000
*Este límite se aplica únicamente a AWS WAF en un Balanceador de carga de aplicaciones. Los límites de
solicitudes por segundo (RPS) para AWS WAF en CloudFront son los mismos que se describen para RPS
en la guía para desarrolladores de CloudFront.
Los siguientes límites de entidades de AWS WAF no se pueden modificar.
Version 1.0
187
Límites de Amazon WorkSpaces
Recurso Límite
Reglas por ACL web 10
Condiciones por regla 10
Filtros por condición de coincidencia de scripting entre sitios 10
Filtros por condición de restricción de tamaño 10
Filtros por condición de coincidencia de inyección de código SQL 10
Filtros por condición de coincidencia de cadena 10
En las condiciones de coincidencia de cadena, número de caracteres de los 40

nombres de encabezado HTTP, cuando se ha configurado AWS WAF para
que inspeccione los encabezados de las solicitudes web en busca de un valor
especificado
En las condiciones de coincidencia de cadena, número de bytes del valor que AWS 50
WAF debe buscar
Estos límites son los mismos en todas las regiones en las que AWS WAF está disponible. Cada región
está sujeta a estos límites de manera individual. Es decir, los límites no se acumulan para todas las
regiones.
Límites de Amazon WorkSpaces

Recurso Límite
predeterminado
WorkSpaces 1
Graphics WorkSpaces 0
Imágenes 5
Version 1.0
188
Descargar
Rangos de direcciones IP de AWS
Amazon Web Services (AWS) publica sus rangos de direcciones IP actuales en formato JSON. Para ver
los rangos actuales, descargue el archivo .json. Para mantener el historial, guarde versiones sucesivas
del archivo .json en el sistema. Para determinar si se han producido cambios desde la última vez que
guardó el archivo, consulte la fecha y hora de publicación en el archivo actual y compárelas con la fecha y
hora de publicación del último archivo que ha guardado.
Contenido
• Descargar (p. 189)
• Sintaxis (p. 189)
• Filtrado del archivo JSON (p. 191)
• Implementación del control de salidas (p. 192)
• Notificaciones de rangos de direcciones IP de AWS (p. 192)
Descargar
Descargue ip-ranges.json .
Si accede a este archivo mediante programación, es responsabilidad suya asegurarse de que la aplicación
descargue el archivo correctamente únicamente después de haber comprobado el certificado TLS
presentado por el servidor.
Sintaxis
La sintaxis de ip-ranges.json es la siguiente.
{
"syncToken": "0123456789",
"createDate": "yyyy-mm-dd-hh-mm-ss",
"prefixes": [
{
"ip_prefix": "cidr",
Version 1.0
189
Sintaxis
"region": "region",
"service": "subset"
}
],
"ipv6_prefixes": [
{
"ipv6_prefix": "cidr",
"region": "region",
"service": "subset"
}
]
}
syncToken
La fecha y hora de publicación en formato de tiempo Unix.
Tipo: String
Ejemplo: "syncToken": "1416435608"

createDate
La fecha y hora de publicación.
Tipo: String
Ejemplo: "createDate": "2014-11-19-23-29-02"

prefixes
Prefijos IP para los rangos de direcciones IPv4.
Tipo: Array
ipv6_prefixes
Prefijos IP para los rangos de direcciones IPv6.
Tipo: Array
ip_prefix
Rango de direcciones IPv4 públicas en notación CIDR. Tenga en cuenta que AWS puede anunciar un
prefijo en rangos más específicos. Por ejemplo, el 96.127.0.0/17 del archivo se puede anunciar como
96.127.0.0/21, 96.127.8.0/21, 96.127.32.0/19 y 96.127.64.0/18.
Tipo: String
Ejemplo: "ip_prefix": "198.51.100.2/24"

ipv6_prefix
Rango de direcciones IPv6 públicas en notación CIDR. Tenga en cuenta que AWS puede anunciar un
prefijo en rangos más específicos.
Tipo: String
Ejemplo: "ipv6_prefix": "2001:db8:1234::/64"

region
La región de AWS o GLOBAL para las ubicaciones de borde. Tenga en cuenta que los rangos
CLOUDFRONT y ROUTE53 son GLOBAL. Debe hacer caso omiso de todos los valores excepto los que se
enumeran aquí.
Version 1.0
190
Filtrado del archivo JSON
Tipo: String
Valores válidos: ap-northeast-1 | ap-northeast-2 | ap-south-1 | ap-southeast-1 | ap-southeast-2

| cn-north-1 | eu-central-1 | eu-west-1 | sa-east-1 | us-east-1 | us-gov-west-1 | us-west-1 | us-
west-2 | GLOBAL
Ejemplo: "region": "us-east-1"

service
Subconjunto de rangos de direcciones IP. Especifique AMAZON para obtener todos los rangos de
direcciones IP (por ejemplo, los rangos del subconjunto EC2 también pertenecen al subconjunto
AMAZON). Tenga en cuenta que algunos rangos de direcciones IP solo se encuentran en el subconjunto
AMAZON. Debe hacer caso omiso de todos los valores excepto los que se enumeran aquí.
Tipo: String
Valores válidos: AMAZON | EC2 | CLOUDFRONT | ROUTE53 | ROUTE53_HEALTHCHECKS | S3
Ejemplo: "service": "AMAZON"
Filtrado del archivo JSON

Puede descargar una herramienta de línea de comandos que le ayude a filtrar la información de modo que
solamente se muestre la que le interesa.
Windows
Herramientas de AWS para Windows PowerShell incluye un cmdlet, Get-AWSPublicIpAddressRange, para
analizar este archivo JSON. Su uso se ilustra en los siguientes ejemplos. Para obtener más información,
consulte Querying the Public IP Address Ranges for AWS.
Example 1. Obtención de la fecha de creación
PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate
Thursday, February 18, 2016 5:22:15 PM
Example 2. Obtención de la información de una región específica
PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1
IpPrefix Region Service

-------- ------ -------
23.20.0.0/14 us-east-1 AMAZON
...
Example 3. Obtención de todas las direcciones IP
PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
Version 1.0
191
Linux
...
Linux
Los comandos del ejemplo siguiente usan la herramienta jq para analizar una copia local del archivo
JSON.
Example 1. Obtención de la fecha de creación
$ jq .createDate < ipranges.json
"2016-02-18-17-22-15"
Example 2. Obtención de la información de una región específica
$ jq '.prefixes[] | select(.region=="us-east-1")' < ipranges.json
{
"ip_prefix": "23.20.0.0/14",
"region": "us-east-1",
"service": "AMAZON"
},
{
"ip_prefix": "50.16.0.0/15",
"service": "AMAZON"
},
{
"ip_prefix": "50.19.0.0/16",
"service": "AMAZON"
},
...
Example 3. Obtención de todas las direcciones IP
$ jq -r '.prefixes | .[].ip_prefix' < ipranges.json
23.20.0.0/14
27.0.0.0/22
43.250.192.0/24
...
Implementación del control de salidas

Para permitir que una instancia acceda solo a los servicios de AWS, cree un grupo de seguridad con reglas
que permitan el tráfico saliente a los bloques de CIDR en la lista AMAZON, menos los bloques de CIDR que
también se encuentran en la lista EC2.
Notificaciones de rangos de direcciones IP de AWS

Siempre que se produce un cambio en los rangos de direcciones IP de AWS, enviamos una notificación a
los suscriptores del tema AmazonIpSpaceChanged. La carga contiene información en el formato siguiente:
Version 1.0
192
{
"create-time":"yyyy-mm-ddThh:mm:ss+00:00",
"synctoken":"0123456789",
"md5":"6a45316e8bc9463c9e926d5d37836d33",
"url":"https://ip-ranges.amazonaws.com/ip-ranges.json"
}
create-time
La fecha y hora de creación.
Las notificaciones se pueden entregar de forma desordenada. Por lo tanto, se recomienda comprobar
el las marcas de tiempo para saber cuál es el orden correcto.
synctoken
La fecha y hora de publicación en formato de tiempo Unix.

md5
Valor hash criptográfico del archivo ip-ranges.json archivo. Puede utilizar este valor para comprobar
si el archivo descargado está dañado.
url
Ubicación del archivo ip-ranges.json.
Si desea recibir una notificación cuando se produzca un cambio en los rangos de direcciones IP de AWS,
puede suscribirse de la siguiente manera para recibir notificaciones mediante Amazon SNS.
Para suscribirse a las notificaciones sobre el rango de direcciones IP de AWS
1. Open the Amazon SNS console at https://console.aws.amazon.com/sns/v2/home.

2. En la barra de navegación, cambie la región a US East (N. Virginia), si es necesario. Debe seleccionar
esta región porque las notificaciones de SNS a las que se va a suscribir se han creado en esa región.
3. En el panel de navegación, seleccione Subscriptions.
4. Elija Create subscription.
5. En el cuadro de diálogo Create subscription, haga lo siguiente:
a. Para Topic ARN, copie el siguiente Nombre de recurso de Amazon (ARN):
arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged
b. Para Protocol, elija el protocolo que desea utilizar (por ejemplo, Email).
c. Para Endpoint, escriba el punto de conexión donde desea recibir la notificación (por ejemplo, su
dirección de correo electrónico).
d. Elija Create subscription.
6. Nos pondremos en contacto con usted en el punto de conexión especificado y le pediremos que
confirme su suscripción. Por ejemplo, si ha especificado una dirección de correo electrónico, recibirá
un mensaje de correo electrónico con la línea de asunto AWS Notification - Subscription
Confirmation. Siga las instrucciones para confirmar la suscripción.
Las notificaciones están sujetas a la disponibilidad del punto de conexión. Por lo tanto, es conveniente
revisar el archivo JSON periódicamente para asegurarse de disponer de los últimos rangos. Para obtener
más información sobre la confiabilidad de Amazon SNS, consulte https://aws.amazon.com/sns/faqs/
#Reliability.
Si ya no desea recibir estas notificaciones, utilice el siguiente procedimiento para cancelar la suscripción.
Version 1.0
193
Para cancelar la suscripción a las notificaciones de rangos de direcciones IP de AWS
1. Open the Amazon SNS console at https://console.aws.amazon.com/sns/v2/home.

2. En el panel de navegación, seleccione Subscriptions.
3. Seleccione la casilla de verificación de la suscripción.
4. Elija Actions, Delete subscriptions.
5. Cuando se le indique que confirme, seleccione Delete.
Para obtener más información sobre Amazon SNS, consulte Amazon Simple Notification Service
Developer Guide.
Version 1.0
194
Reintentos de error y retardo

exponencial en AWS
Numerosos componentes de una red, como los servidores DNS, los conmutadores o los balanceadores
de carga, entre otros, pueden generar errores en cualquier punto de la vida de una solicitud determinada.
La técnica habitual para abordar estas respuestas de error en un entorno de red consiste en implementar
los reintentos en la aplicación cliente. Esta técnica aumenta la confiabilidad de la aplicación y reducen los
costos operativos para el desarrollador.
Cada AWS SDK implementa una lógica de reintento automático. AWS SDK for Java reintenta
automáticamente las solicitudes y le permite configurar los ajustes de reintento mediante la clase
ClientConfiguration. Por ejemplo, puede ser conveniente desactivar la lógica de reintento para
una página web que realiza una solicitud con una latencia mínima y sin intentos. Utilice la clase
ClientConfiguration y proporcione un valor de maxErrorRetry de 0 para desactivar los reintentos.
Si no utiliza AWS SDK;, debe reintentar las solicitudes originales que reciban errores de servidor (5xx) o
limitación. Sin embargo, los errores de cliente (4xx) indican que es preciso revisar la solicitud para corregir
el problema antes de reintentarla.
Además de los reintentos sencillos, cada AWS SDK implementa un algoritmo de retardo exponencial
para mejorar el control de flujo. El retardo exponencial se basa en la idea de utilizar tiempos de espera
progresivamente más largos entre reintentos para las respuestas a errores consecutivos. Debe
implementar un intervalo de retraso máximo, así como un número máximo de intentos. El intervalo de
retraso máximo y el número máximo de reintentos no son necesariamente valores fijos. Por ello, deben
establecerse en función de la operación realizada, así como de otros factores locales, como la latencia de
red.
La mayoría los algoritmos de retardo exponencial utilizan la fluctuación (el retraso aleatorio) para evitar
conflictos sucesivos. Habida cuenta de que no está intentando evitar este tipo de conflictos en estos casos,
no es necesario utilizar este número aleatorio. Sin embargo, si utiliza clientes simultáneos, la fluctuación
puede ayudar a que las solicitudes tengan éxito con mayor rapidez. Para obtener más información,
consulte la entrada de blog Exponential Backoff and Jitter.
El siguiente pseudocódigo muestra una manera de sondear si existe un estado mediante un retraso
incremental.
Version 1.0
195
Do some asynchronous operation.
retries = 0
DO
wait for (2^retries * 100) milliseconds
status = Get the result of the asynchronous operation.
IF status = SUCCESS
retry = false
ELSE IF status = NOT_READY
retry = true
ELSE IF status = THROTTLED
retry = true
ELSE
Some other error occurred, so stop calling the API.
retry = false
END IF
retries = retries + 1
WHILE (retry AND (retries < MAX_RETRIES))
El código siguiente muestra cómo implementar este retraso incremental en Java.
public enum Results {

SUCCESS,
NOT_READY,
THROTTLED,
SERVER_ERROR
}
/*
* Performs an asynchronous operation, then polls for the result of the
* operation using an incremental delay.
*/
public static void doOperationAndWaitForResult() {
try {
// Do some asynchronous operation.
long token = asyncOperation();
int retries = 0;
boolean retry = false;
do {
long waitTime = Math.min(getWaitTimeExp(retries), MAX_WAIT_INTERVAL);
System.out.print(waitTime + "\n");
// Wait for the result.

Thread.sleep(waitTime);
// Get the result of the asynchronous operation.

Results result = getAsyncOperationResult(token);
if (Results.SUCCESS == result) {
retry = false;
} else if (Results.NOT_READY == result) {
retry = true;
} else if (Results.THROTTLED == result) {
retry = true;
} else if (Results.SERVER_ERROR == result) {
Version 1.0
196
retry = true;
}
else {
// Some other error occurred, so stop calling the API.
retry = false;
}
} while (retry && (retries++ < MAX_RETRIES));

}
catch (Exception ex) {

}
}
/*
* Returns the next wait interval, in milliseconds, using an exponential
* backoff algorithm.
*/
public static long getWaitTimeExp(int retryCount) {
long waitTime = ((long) Math.pow(2, retryCount) * 100L);
return waitTime;
}
Version 1.0
197
AWS Command Line Interface (AWS CLI)
Herramientas de línea de comandos

de AWS
AWS Command Line Interface (AWS CLI)

Amazon Web Services (AWS) ofrece AWS Command Line Interface (AWS CLI), una herramienta unificada
para controlar y administrar varios servicios de AWS. Para descargar la AWS CLI o ver la lista de servicios
compatibles, consulte Interfaz de línea de comandos de AWS.
AWS también ofrece Herramientas de AWS para Windows PowerShell para aquellos que incorporan el
entorno de PowerShell en el script.
Herramientas anteriores de interfaz de línea de

comandos de AWS
Las herramientas de CLI de AWS anteriores todavía se encuentran disponibles. Si necesita las
herramientas de CLI de AWS anteriores, consulte la siguiente tabla, que proporciona enlaces a las
herramientas de línea de comandos y su documentación.
Producto Descargar Documentación
Auto Scaling Página de descarga: página de herramientas de línea de Auto Scaling

comandos de Auto Scaling Command Line
Tools Quick
Reference Card
AWS Página de descarga: página de herramientas de línea de AWS

CloudFormation comandos de AWS CloudFormation CloudFormation
Command Line
Tools Reference
AWS
CloudFormation
Command Line
Tools Quick
Reference Card
Version 1.0
198
Herramientas anteriores de interfaz
de línea de comandos de AWS
Amazon Página de descarga: página de herramientas de línea de Amazon

CloudSearch comandos de Amazon CloudSearch para Windows CloudSearch
Developer Guide
Página de descarga: página de herramientas de línea de

comandos de Amazon CloudSearch para Mac OS/Linux
AWS Elastic Página de descarga: AWS Elastic Beanstalk Command Line AWS Elastic
Beanstalk Tools Beanstalk
Command Line
Tools Reference
Amazon Elastic Página de descarga: página de herramientas de línea de Amazon EC2

Compute Cloud comandos de la API de Amazon EC2 Command Line
Tools Reference
Página de descarga: página de herramientas de línea de
comandos de la AMI de Amazon EC2 Amazon EC2
Command Line
Tools Quick
Reference Card
Elastic Load Página de descarga: página de herramientas de línea de Elastic Load

Balancing comandos de Elastic Load Balancing Balancing
Command Line
Tools Quick
Reference Card
Amazon EMR Página de descarga: página de herramientas de línea de Amazon EMR

comandos de Amazon EMR Command Line
Tools Quick
Reference Card
Amazon Página de descarga: página de herramientas de línea de Amazon

ElastiCache comandos de Amazon ElastiCache ElastiCache
Command Line
Tools Reference
AWS Identity El paquete de herramientas de línea de comandos de IAM ha AWS CLI User
and Access quedado obsoleto. Para realizar acciones de IAM en la línea Guide
Management de comandos, utilice la AWS Command Line Interface.
AWS Identity
and Access
Management
from the AWS
Command Line
Interface
IAM reference in
the AWS CLI
AWS Import/Export Página de descarga: Download the AWS Import/Export Disk What Is AWS
Disk Web Service Tool Import/Export
Disk?
Version 1.0
199
Herramientas anteriores de interfaz
de línea de comandos de AWS
Amazon Redshift Página de descarga: Interfaz de línea de comandos de AWS Amazon Redshift
reference in the
AWS CLI
Amazon Relational Página de descarga: página de herramientas de línea de Amazon RDS

Database Service comandos de Amazon RDS Command Line
Tools Reference
Amazon RDS
Command Line
Tools Quick
Reference Card
Amazon Simple Página de descarga: página de herramientas de línea de Amazon SES

Email Service comandos de Amazon SES Command
Line Tools
Documentation
Amazon Simple Página de descarga: página de herramientas de línea de Amazon SNS

Notification Service comandos de Amazon SNS Command Line
Tools Reference
Amazon Virtual Página de descarga: página de herramientas de línea de Amazon EC2

Private Cloud comandos de Amazon EC2 Command Line
Tools Reference
Amazon VPC
Command Line
Tools Quick
Reference Card
Version 1.0
200
Typographical Conventions
Document Conventions
This section lists the common typographical and symbol use conventions for AWS technical publications.
Typographical Conventions
This section describes common typographical use conventions.
Convention Description/Example
Call-outs A call-out is a number in the body text to give you a visual reference. The
reference point is for further discussion elsewhere.
Code in text Inline code samples (including XML) and commands are identified with a
special font.
You can use the command java -version.
Code blocks Blocks of sample code are set apart from the body and marked accordingly.
# ls -l /var/www/html/index.html
-rw-rw-r-- 1 root root 1872 Jun 21 09:33 /var/www/html/index.html
# date
Wed Jun 21 09:33:42 EDT 2006
Emphasis Unusual or important words and phrases are marked with a special font.
You must sign up for an account before you can use the service.
Internal cross References to a section in the same document are marked.

references
For more information, see Document Conventions (p. 201).
Logical values, A special font is used for expressions that are important to identify, but are not
constants, and regular code.
expressions, abstracta
If the value is null, the returned response will be false.
Product and feature Named AWS products and features are identified on first use.
names
Create an Amazon Machine Image (AMI).
Version 1.0
201
Symbol Conventions
Convention Description/Example
Operations In-text references to operations.
Use the GetHITResponse operation.
Parameters In-text references to parameters.
The operation accepts the parameter AccountID.
Response elements In-text references to responses.
A container for one CollectionParent and one or more CollectionItems.
Technical publication References to other AWS publications. If the reference is hyperlinked, it is also
references underscored.
For detailed conceptual information, refer to the Amazon Mechanical Turk

Developer Guide.
User entered values A special font marks text that the user types.
At the password prompt, type MyPassword.
User interface controls Denotes named items on the UI for easy identification.
and labels
On the File menu, click Properties.
Variables When you see this style, you must change the value of the content when you
copy the text of a sample to a command line.
% ec2-register <your-s3-bucket>/image.manifest
See also the following symbol convention.
Symbol Conventions
This section describes the common use of symbols.
Convention Symbol Description/Example
Mutually (Parentheses | and | Within a code description, bar separators denote options from
exclusive vertical | bars) which one must be chosen.
parameters
% data = hdfread (start | stride | edge)
Optional [square brackets] Within a code description, square brackets denote completely
parameters optional commands or parameters.
XML variable % sed [-n, -quiet]

text
Use square brackets in XML examples to differentiate them from

tags.
<CustomerId>[ID]</CustomerId>
Version 1.0
202
Symbol Conventions
Convention Symbol Description/Example
Variables <arrow brackets> Within a code sample, arrow brackets denote a variable that
must be replaced with a valid value.
% ec2-register <your-s3-bucket>/image.manifest
Version 1.0
203
Historial de documentación
Esta guía se actualizó por última vez el 13 de marzo de 2017.
En la siguiente tabla se describen los cambios importantes realizados desde la última versión de la
Referencia general de Amazon Web Services.
Cambio Descripción Fecha de la

versión
Región UE El tema Regiones y puntos de conexión de AWS (p. 2) se ha 7 de marzo de

(Fráncfort) actualizado para incluir información sobre la región UE (Fráncfort). 2017
Región EU El tema Regiones y puntos de conexión de AWS (p. 2) se ha 13 de

(London) actualizado para incluir información sobre la región EU (London). diciembre de
2016
Región Canada El tema Regiones y puntos de conexión de AWS (p. 2) se ha 8 de diciembre

(Central) actualizado para incluir información sobre la región Canada (Central). de 2016
Región US El tema Regiones y puntos de conexión de AWS (p. 2) se ha 17 de octubre

East (Ohio) actualizado para incluir información sobre la región US East (Ohio). de 2016
Región El tema Regiones y puntos de conexión de AWS (p. 2) se ha 27 de junio de

Asia Pacific actualizado para incluir información sobre la región Asia Pacific 2016
(Mumbai) (Mumbai).
Región Asia El tema Regiones y puntos de conexión de AWS (p. 2) se ha 6 de enero de

Pacífico (Seúl) actualizado para incluir información sobre la región Asia Pacífico 2016
(Seúl).
Región UE El tema Regiones y puntos de conexión de AWS (p. 2) se ha 23 de octubre

(Fráncfort) actualizado para incluir información sobre la región UE (Fráncfort). de 2014
Región El tema Regiones y puntos de conexión de AWS (p. 2) se ha 14 de

América del actualizado para incluir información sobre la región América del Sur diciembre de
Sur (São (São Paulo). 2011
Paulo)
Región EE.UU. El tema Regiones y puntos de conexión de AWS (p. 2) se ha 8 de noviembre

Oeste (Norte actualizado para incluir información sobre la región EE.UU. Oeste de 2011
de California) (Norte de California).
Version 1.0
204
Cambio Descripción Fecha de la

versión
Región AWS El Regiones y puntos de conexión de AWS (p. 2) tema se ha 16 de agosto

GovCloud (US) actualizado para incluir información sobre la región AWS GovCloud de 2011
(US), diseñada para cumplir los requisitos reglamentarios únicos del
gobierno de los Estados Unidos.
Herramientas Se ha añadido el tema Herramientas de línea de comandos de 26 de julio de

de línea de AWS (p. 198) para proporcionar enlaces a las herramientas de línea 2011
comandos de de comandos y su documentación para los productos de AWS.
AWS
Primera versión Esta es la primera versión de la Referencia general de Amazon Web 2 de marzo de
Services. 2011
Version 1.0
205
AWS Glossary
Numbers and Symbols (p. 206) | A (p. 206) | B (p. 217) | C (p. 218) | D (p. 222) | E (p. 225) | F (p. 227)
| G (p. 228) | H (p. 229) | I (p. 230) | J (p. 232) | K (p. 232) | L (p. 233) | M (p. 234) | N (p. 236) |
O (p. 237) | P (p. 238) | Q (p. 241) | R (p. 241) | S (p. 244) | T (p. 250) | U (p. 252) | V (p. 252) |
W (p. 254) | X, Y, Z (p. 254)
Numbers and Symbols

100-continue A method that enables a client to see if a server can accept a request before
actually sending it. For large PUT requests, this method can save both time and
bandwidth charges.
A
W (p. 254) | X, Y, Z (p. 254)
AAD See additional authenticated data.
access control list (ACL) A document that defines who can access a particular bucket (p. 218) or
object. Each bucket (p. 218) and object in Amazon S3 (p. 211) has an ACL.
The document defines what each type of user can do, such as write and read
permissions.
access identifiers See credentials.
access key The combination of an access key ID (p. 206) (like AKIAIOSFODNN7EXAMPLE) and a
secret access key (p. 246) (like wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY).
You use access keys to sign API requests that you make to AWS.
access key ID A unique identifier that's associated with a secret access key (p. 246); the
access key ID and secret access key are used together to sign programmatic AWS
requests cryptographically.
access key rotation A method to increase security by changing the AWS access key ID. This method
enables you to retire an old key at your discretion.
Version 1.0
206
access policy language A language for writing documents (that is, policies (p. 239)) that specify who can
access a particular AWS resource (p. 243) and under what conditions.
account A formal relationship with AWS that is associated with (1) the owner email address
and password, (2) the control of resource (p. 243)s created under its umbrella,
and (3) payment for the AWS activity related to those resources. The AWS account
has permission to do anything and everything with all the AWS account resources.
This is in contrast to a user (p. 252), which is an entity contained within the
account.
account activity A web page showing your month-to-date AWS usage and costs. The account
activity page is located at https://aws.amazon.com/account-activity/.
ACL See access control list (ACL).
ACM See AWS Certificate Manager (ACM).
action An API function. Also called operation or call. The activity the principal (p. 240)
has permission to perform. The action is B in the statement "A has permission
to do B to C where D applies." For example, Jane sends a request to Amazon
SQS (p. 211) with Action=ReceiveMessage.
Amazon CloudWatch (p. 208): The response initiated by the change in an alarm's
state: for example, from OK to ALARM. The state change may be triggered by a
metric reaching the alarm threshold, or by a SetAlarmState request. Each alarm can
have one or more actions assigned to each state. Actions are performed once each
time the alarm changes to a state that has an action assigned, such as an Amazon
Simple Notification Service (p. 211) notification, an Auto Scaling (p. 213)
policy (p. 239) execution or an Amazon EC2 (p. 209) instance (p. 231) stop/
terminate action.
active trusted signers A list showing each of the trusted signers you've specified and the IDs of the
corresponding active key pairs that Amazon CloudFront (p. 208) is aware of. To
be able to create working signed URLs, a trusted signer must appear in this list with
at least one key pair ID.
additional authenticated data Information that is checked for integrity but not encrypted, such as headers or other
contextual metadata.
administrative suspension Auto Scaling (p. 213) might suspend processes for Auto Scaling group (p. 213)
that repeatedly fail to launch instances. Auto Scaling groups that most commonly
experience administrative suspension have zero running instances, have been
trying to launch instances for more than 24 hours, and have not succeeded in that
time.
alarm An item that watches a single metric over a specified time period, and triggers
an Amazon SNS (p. 211) topic (p. 251) or an Auto Scaling (p. 213)
policy (p. 239) if the value of the metric crosses a threshold value over a
predetermined number of time periods.
allow One of two possible outcomes (the other is deny (p. 224)) when an IAM (p. 215)
access policy (p. 239) is evaluated. When a user makes a request to AWS, AWS
evaluates the request based on all permissions that apply to the user and then
returns either allow or deny.
Amazon API Gateway A fully managed service that makes it easy for developers to create, publish,
maintain, monitor, and secure APIs at any scale.
See Also https://aws.amazon.com/api-gateway.
Version 1.0
207
Amazon AppStream A web service for streaming existing Windows applications from the cloud to any
device.
See Also https://aws.amazon.com/appstream/.
Amazon Aurora A fully managed MySQL-compatible relational database engine that combines
the speed and availability of commercial databases with the simplicity and cost-
effectiveness of open source databases.
See Also https://aws.amazon.com/rds/aurora/.
Amazon CloudFront An AWS content delivery service that helps you improve the performance, reliability,
and availability of your websites and applications.
See Also https://aws.amazon.com/cloudfront.
Amazon CloudSearch A fully managed service in the AWS cloud that makes it easy to set up, manage,
and scale a search solution for your website or application.
Amazon CloudWatch A web service that enables you to monitor and manage various metrics, and
configure alarm actions based on data from those metrics.
See Also https://aws.amazon.com/cloudwatch.
Amazon CloudWatch Events A web service that enables you to deliver a timely stream of system events
that describe changes in AWS resource (p. 243)s to AWS Lambda (p. 215)
functions, streams in Amazon Kinesis Streams (p. 210), Amazon Simple
Notification Service (p. 211) topics, or built-in targets.
Amazon CloudWatch Logs A web service for monitoring and troubleshooting your systems and applications
from your existing system, application, and custom log files. You can send your
existing log files to CloudWatch Logs and monitor these logs in near real-time.
Amazon Cognito A web service that makes it easy to save mobile user data, such as app
preferences or game state, in the AWS cloud without writing any back-end code or
managing any infrastructure. Amazon Cognito offers mobile identity management
and data synchronization across devices.
See Also https://aws.amazon.com/cognito/.
Amazon DevPay An easy-to-use online billing and account management service that makes it easy
for you to sell an Amazon EC2 (p. 209) AMI (p. 210) or an application built on
Amazon S3 (p. 211).
See Also https://aws.amazon.com/devpay.
Amazon DynamoDB A fully managed NoSQL database service that provides fast and predictable
performance with seamless scalability.
See Also https://aws.amazon.com/dynamodb/.
Amazon DynamoDB Storage A storage backend for the Titan graph database implemented on top of Amazon
Backend for Titan DynamoDB. Titan is a scalable graph database optimized for storing and querying
graphs.
Amazon DynamoDB Streams An AWS service that captures a time-ordered sequence of item-level modifications
in any Amazon DynamoDB table, and stores this information in a log for up to 24
hours. Applications can access this log and view the data items as they appeared
before and after they were modified, in near real time.
Amazon Elastic Block Store A service that provides block level storage volume (p. 253)s for use with EC2
(Amazon EBS) instance (p. 225)s.
Version 1.0
208
See Also https://aws.amazon.com/ebs.
Amazon EBS-backed AMI A type of Amazon Machine Image (AMI) (p. 210) whose instance (p. 231)s use
an Amazon EBS (p. 208) volume (p. 253) as their root device. Compare this
with instances launched from instance store-backed AMI (p. 231)s, which use the
instance store (p. 231) as the root device.
Amazon EC2 Container A fully managed Docker container registry that makes it easy for developers to
Registry (Amazon ECR) store, manage, and deploy Docker container images. Amazon ECR is integrated
with Amazon EC2 Container Service (Amazon ECS) (p. 209) and AWS Identity
and Access Management (IAM) (p. 215).
See Also https://aws.amazon.com/ecr.
Amazon EC2 Container A highly scalable, fast, container (p. 221) management service that makes it
Service (Amazon ECS) easy to run, stop, and manage Docker containers on a cluster (p. 220) of EC2
instance (p. 225)s.
See Also https://aws.amazon.com/ecs.
Amazon ECS service A service for running and maintaining a specified number of task (p. 251)s
(instantiations of a task definition (p. 251)) simultaneously.
Amazon EC2 VM Import See https://aws.amazon.com/ec2/vm-import.

Connector
Amazon Elastic Compute A web service that enables you to launch and manage Linux/UNIX and Windows
Cloud (Amazon EC2) server instance (p. 231)s in Amazon's data centers.
See Also https://aws.amazon.com/ec2.
Amazon Elastic File System A file storage service for EC2 (p. 209) instance (p. 231)s. Amazon EFS is easy
(Amazon EFS) to use and provides a simple interface with which you can create and configure file
systems. Amazon EFS storage capacity grows and shrinks automatically as you
add and remove files.
See Also https://aws.amazon.com/efs/.
Amazon EMR (Amazon EMR) A web service that makes it easy to process large amounts of data efficiently.
Amazon EMR uses Hadoop (p. 229) processing combined with several AWS
products to do such tasks as web indexing, data mining, log file analysis, machine
learning, scientific simulation, and data warehousing.
See Also https://aws.amazon.com/elasticmapreduce.
Amazon Elastic Transcoder A cloud-based media transcoding service. Elastic Transcoder is a highly scalable
tool for converting (or transcoding) media files from their source format into versions
that will play on devices like smartphones, tablets, and PCs.
See Also https://aws.amazon.com/elastictranscoder/.
Amazon ElastiCache A web service that simplifies deploying, operating, and scaling an in-memory cache
in the cloud. The service improves the performance of web applications by providing
information retrieval from fast, managed, in-memory caches, instead of relying
entirely on slower disk-based databases.
See Also https://aws.amazon.com/elasticache/.
Amazon Elasticsearch Service An AWS managed service for deploying, operating, and scaling Elasticsearch, an
(Amazon ES) open-source search and analytics engine, in the AWS Cloud. Amazon Elasticsearch
Service (Amazon ES) also offers security options, high availability, data durability,
and direct access to the Elasticsearch APIs.
See Also https://aws.amazon.com/elasticsearch-service.
Amazon GameLift A managed service for deploying, operating, and scaling session-based multiplayer
games.
See Also https://aws.amazon.com/gamelift/.
Version 1.0
209
Amazon Glacier A secure, durable, and low-cost storage service for data archiving and long-term
backup. You can reliably store large or small amounts of data for significantly less
than on-premises solutions. Amazon Glacier is optimized for infrequently accessed
data, where a retrieval time of several hours is suitable.
See Also https://aws.amazon.com/glacier/.
Amazon Inspector An automated security assessment service that helps improve the security and
compliance of applications deployed on AWS. Amazon Inspector automatically
assesses applications for vulnerabilities or deviations from best practices. After
performing an assessment, Amazon Inspector produces a detailed report with
prioritized steps for remediation.
See Also https://aws.amazon.com/inspector.
Amazon Kinesis A platform for streaming data on AWS. Amazon Kinesis offers services that simplify
the loading and analysis of streaming data.
See Also https://aws.amazon.com/kinesis/.
Amazon Kinesis Firehose A fully managed service for loading streaming data into AWS. Firehose can capture
and automatically load streaming data into Amazon S3 (p. 211) and Amazon
Redshift (p. 210), enabling near real-time analytics with existing business
intelligence tools and dashboards. Firehose automatically scales to match the
throughput of your data and requires no ongoing administration. It can also batch,
compress, and encrypt the data before loading it.
See Also https://aws.amazon.com/kinesis/firehose/.
Amazon Kinesis Streams A web service for building custom applications that process or analyze streaming
data for specialized needs. Amazon Kinesis Streams can continuously capture and
store terabytes of data per hour from hundreds of thousands of sources.
See Also https://aws.amazon.com/kinesis/streams/.
Amazon Lumberyard A cross-platform, 3D game engine for creating high-quality games. You can connect
games to the compute and storage of the AWS cloud and engage fans on Twitch.
See Also https://aws.amazon.com/lumberyard/.
Amazon Machine Image (AMI) An encrypted machine image stored in Amazon Elastic Block Store (Amazon
EBS) (p. 208) or Amazon Simple Storage Service (p. 211). AMIs are like a
template of a computer's root drive. They contain the operating system and can
also include software and layers of your application, such as database servers,
middleware, web servers, and so on.
Amazon Machine Learning A cloud-based service that creates machine learning (ML) models by finding
patterns in your data, and uses these models to process new data and generate
predictions.
See Also http://aws.amazon.com/machine-learning/.
Amazon ML See Amazon Machine Learning.
Amazon Mobile Analytics A service for collecting, visualizing, understanding, and extracting mobile app usage
data at scale.
See Also https://aws.amazon.com/mobileanalytics.
Amazon Redshift A fully managed, petabyte-scale data warehouse service in the cloud. With Amazon
Redshift you can analyze your data using your existing business intelligence tools.
See Also https://aws.amazon.com/redshift/.
Amazon Relational Database A web service that makes it easier to set up, operate, and scale a relational
Service (Amazon RDS) database in the cloud. It provides cost-efficient, resizable capacity for an industry-
standard relational database and manages common database administration tasks.
See Also https://aws.amazon.com/rds.
Version 1.0
210
Amazon Resource Name A standardized way to refer to an AWS resource (p. 243). For example:
(ARN) arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob.
Amazon Route 53 A web service you can use to create a new DNS service or to migrate your existing
DNS service to the cloud.
See Also https://aws.amazon.com/route53.
Amazon S3 See Amazon Simple Storage Service (Amazon S3).
Amazon S3-Backed AMI See instance store-backed AMI.
Amazon Silk A next-generation web browser available only on Fire OS tablets and phones. Built
on a split architecture that divides processing between the client and the AWS
cloud, Amazon Silk is designed to create a faster, more responsive mobile browsing
experience.
Amazon Simple Email Service An easy-to-use, cost-effective email solution for applications.
(Amazon SES) See Also https://aws.amazon.com/ses.
Amazon Simple Notification A web service that enables applications, end-users, and devices to instantly send
Service (Amazon SNS) and receive notifications from the cloud.
See Also https://aws.amazon.com/sns.
Amazon Simple Queue Reliable and scalable hosted queues for storing messages as they travel between
Service (Amazon SQS) computers.
See Also https://aws.amazon.com/sqs.
Amazon Simple Storage Storage for the Internet. You can use it to store and retrieve any amount of data at
Service (Amazon S3) any time, from anywhere on the web.
See Also https://aws.amazon.com/s3.
Amazon Simple Workflow A fully managed service that helps developers build, run, and scale background
Service (Amazon SWF) jobs that have parallel or sequential steps. Amazon SWF is like a state tracker and
task coordinator in the cloud.
See Also https://aws.amazon.com/swf/.
Amazon Virtual Private Cloud A web service for provisioning a logically isolated section of the AWS cloud where
(Amazon VPC) you can launch AWS resource (p. 243)s in a virtual network that you define.
You control your virtual networking environment, including selection of your
own IP address range, creation of subnet (p. 249)s, and configuration of route
table (p. 244)s and network gateways.
See Also https://aws.amazon.com/vpc.
Amazon VPC See Amazon Virtual Private Cloud (Amazon VPC).
Amazon Web Services (AWS) An infrastructure web services platform in the cloud for companies of all sizes.
See Also https://aws.amazon.com/what-is-cloud-computing/.
Amazon WorkDocs A managed, secure enterprise document storage and sharing service with
administrative controls and feedback capabilities.
See Also https://aws.amazon.com/workdocs/.
Amazon WorkMail A managed, secure business email and calendar service with support for existing
desktop and mobile email clients.
See Also https://aws.amazon.com/workmail/.
Amazon WorkSpaces A managed, secure desktop computing service for provisioning cloud-
based desktops and providing users access to documents, applications, and
resource (p. 243)s from supported devices.
See Also https://aws.amazon.com/workspaces/.
Version 1.0
211
Amazon WorkSpaces A web service for deploying and managing applications for Amazon WorkSpaces.
Application Manager (Amazon Amazon WAM accelerates software deployment, upgrades, patching, and
WAM) retirement by packaging Windows desktop applications into virtualized application
containers.
See Also https://aws.amazon.com/workspaces/applicationmanager.
AMI See Amazon Machine Image (AMI).
analysis scheme Amazon CloudSearch (p. 208): Language-specific text analysis options that are
applied to a text field to control stemming and configure stopwords and synonyms.
application AWS Elastic Beanstalk (p. 214): A logical collection of components, including
environments, versions, and environment configurations. An application is
conceptually similar to a folder.
AWS CodeDeploy (p. 214): A name that uniquely identifies the application to be
deployed. AWS CodeDeploy uses this name to ensure the correct combination of
revision, deployment configuration, and deployment group are referenced during a
deployment.
Application Billing The location where your customers manage the Amazon DevPay products they've
purchased. The web address is http://www.amazon.com/dp-applications.
application revision AWS CodeDeploy (p. 214): An archive file containing source content—such
as source code, web pages, executable files, and deployment scripts—along
with an application specification file (p. 212). Revisions are stored in Amazon
S3 (p. 211) bucket (p. 218)s or GitHub (p. 229) repositories. For Amazon S3,
a revision is uniquely identified by its Amazon S3 object key and its ETag, version,
or both. For GitHub, a revision is uniquely identified by its commit ID.
application specification file AWS CodeDeploy (p. 214): A YAML-formatted file used to map the source files in
an application revision to destinations on the instance; specify custom permissions
for deployed files; and specify scripts to be run on each instance at various stages
of the deployment process.
application version AWS Elastic Beanstalk (p. 214): A specific, labeled iteration of an application that
represents a functionally consistent set of deployable application code. A version
points to an Amazon S3 (p. 211) object (a JAVA WAR file) that contains the
application code.
AppSpec file See application specification file.
AUC Area Under a Curve. An industry-standard metric to evaluate the quality of a binary
classification machine learning model. AUC measures the ability of the model
to predict a higher score for positive examples, those that are “correct,” than for
negative examples, those that are “incorrect.” The AUC metric returns a decimal
value from 0 to 1. AUC values near 1 indicate an ML model that is highly accurate.
ARN See Amazon Resource Name (ARN).
artifact AWS CodePipeline (p. 214): A copy of the files or changes that will be worked
upon by the pipeline.
asymmetric encryption Encryption (p. 226) that uses both a public key and a private key.
asynchronous bounce A type of bounce (p. 218) that occurs when a receiver (p. 242) initially accepts
an email message for delivery and then subsequently fails to deliver it.
atomic counter DynamoDB: A method of incrementing or decrementing the value of an existing

attribute without interfering with other write requests.
Version 1.0
212
attribute A fundamental data element, something that does not need to be broken down any
further. In DynamoDB, attributes are similar in many ways to fields or columns in
other database systems.
Amazon Machine Learning: A unique, named property within an observation in a

data set. In tabular data, such as spreadsheets or comma-separated values (.csv)
files, the column headings represent the attributes, and the rows contain values for
each attribute.
Aurora See Amazon Aurora.
authenticated encryption Encryption (p. 226) that provides confidentiality, data integrity, and authenticity
assurances of the encrypted data.
authentication The process of proving your identity to a system.
Auto Scaling A web service designed to launch or terminate instance (p. 231)s automatically
based on user-defined policies (p. 239), schedules, and health check (p. 229)s.
See Also https://aws.amazon.com//autoscaling.
Auto Scaling group A representation of multiple EC2 instance (p. 225)s that share similar
characteristics, and that are treated as a logical grouping for the purposes of
instance scaling and management.
Availability Zone A distinct location within a region (p. 242) that is insulated from failures in other
Availability Zones, and provides inexpensive, low-latency network connectivity to
other Availability Zones in the same region.
AWS See Amazon Web Services (AWS).
AWS Application Discovery A web service that helps you plan to migrate to AWS by identifying IT assets
Service in a data center—including servers, virtual machines, applications, application
dependencies, and network infrastructure.
See Also https://aws.amazon.com/about-aws/whats-new/2016/04/aws-application-
discovery-service/.
AWS Billing and Cost The AWS cloud computing model in which you pay for services on demand and use
Management as much or as little at any given time as you need. While resource (p. 243)s are
active under your account, you pay for the cost of allocating those resources and
for any incidental usage associated with those resources, such as data transfer or
allocated storage.
See Also https://aws.amazon.com/billing/new-user-faqs/.
AWS Certificate Manager A web service for provisioning, managing, and deploying Secure Sockets
(ACM) Layer/Transport Layer Security (p. 252) (SSL/TLS) certificates for use with AWS
services.
See Also https://aws.amazon.com/certificate-manager/.
AWS CloudFormation A service for writing or changing templates that create and delete related AWS
resource (p. 243)s together as a unit.
See Also https://aws.amazon.com/cloudformation.
AWS CloudHSM A web service that helps you meet corporate, contractual, and regulatory
compliance requirements for data security by using dedicated hardware security
module (HSM) appliances within the AWS cloud.
See Also https://aws.amazon.com/cloudhsm/.
AWS CloudTrail A web service that records AWS API calls for your account and delivers log files to
you. The recorded information includes the identity of the API caller, the time of the
Version 1.0
213
API call, the source IP address of the API caller, the request parameters, and the
response elements returned by the AWS service.
See Also https://aws.amazon.com/cloudtrail/.
AWS CodeCommit A fully managed source control service that makes it easy for companies to host
secure and highly scalable private Git repositories.
See Also https://aws.amazon.com/codecommit.
AWS CodeDeploy A service that automates code deployments to any instance, including EC2
instance (p. 225)s and instance (p. 231)s running on-premises.
See Also https://aws.amazon.com/codedeploy.
AWS CodeDeploy agent A software package that, when installed and configured on an instance, enables
that instance to be used in AWS CodeDeploy deployments.
AWS CodePipeline A continuous delivery service for fast and reliable application updates.
See Also https://aws.amazon.com/codepipeline.
AWS Command Line Interface A unified downloadable and configurable tool for managing AWS services. Control
(AWS CLI) multiple AWS services from the command line and automate them through scripts.
See Also https://aws.amazon.com/cli/.
AWS Config A fully managed service that provides an AWS resource (p. 243) inventory,
configuration history, and configuration change notifications for better security and
governance. You can create rules that automatically check the configuration of
AWS resources that AWS Config records.
See Also https://aws.amazon.com/config/.
AWS Database Migration A web service that can help you migrate data to and from many widely used
Service commercial and open-source databases.
See Also https://aws.amazon.com/dms.
AWS Data Pipeline A web service for processing and moving data between different AWS compute and
storage services, as well as on-premises data sources, at specified intervals.
See Also https://aws.amazon.com/datapipeline.
AWS Device Farm An app testing service that allows developers to test Android, iOS, and Fire OS
devices on real, physical phones and tablets that are hosted by AWS.
See Also https://aws.amazon.com/device-farm.
AWS Direct Connect A web service that simplifies establishing a dedicated network connection from
your premises to AWS. Using AWS Direct Connect, you can establish private
connectivity between AWS and your data center, office, or colocation environment.
See Also https://aws.amazon.com/directconnect.
AWS Directory Service A managed service for connecting your AWS resource (p. 243)s to an existing
on-premises Microsoft Active Directory or to set up and operate a new, standalone
directory in the AWS cloud.
See Also https://aws.amazon.com/directoryservice.
AWS Elastic Beanstalk A web service for deploying and managing applications in the AWS cloud without
worrying about the infrastructure that runs those applications.
See Also https://aws.amazon.com/elasticbeanstalk.
AWS GovCloud (US) An isolated AWS Region designed to host sensitive workloads in the cloud,
ensuring that this work meets the US government's regulatory and compliance
requirements. The AWS GovCloud (US) Region adheres to United States
International Traffic in Arms Regulations (ITAR), Federal Risk and Authorization
Management Program (FedRAMP) requirements, Department of Defense (DOD)
Version 1.0
214
Cloud Security Requirements Guide (SRG) Levels 2 and 4, and Criminal Justice
Information Services (CJIS) Security Policy requirements.
See Also https://aws.amazon.com/govcloud-us/.
AWS Identity and Access A web service that enables Amazon Web Services (AWS) (p. 211) customers to
Management (IAM) manage users and user permissions within AWS.
See Also https://aws.amazon.com/iam.
AWS Import/Export A service for transferring large amounts of data between AWS and portable storage
devices.
See Also https://aws.amazon.com/importexport.
AWS IoT A managed cloud platform that lets connected devices easily and securely interact
with cloud applications and other devices.
See Also https://aws.amazon.com/iot.
AWS Key Management A managed service that simplifies the creation and control of encryption (p. 226)
Service (AWS KMS) keys that are used to encrypt data.
See Also https://aws.amazon.com/kms.
AWS Lambda A web service that lets you run code without provisioning or managing servers.
You can run code for virtually any type of application or back-end service with zero
administration. You can set up your code to automatically trigger from other AWS
services or call it directly from any web or mobile app.
See Also https://aws.amazon.com/lambda/.
AWS managed key One of two types of customer master key (CMK) (p. 222)s in AWS Key
Management Service (AWS KMS) (p. 215).
AWS managed policy An IAM (p. 215) managed policy (p. 234) that is created and managed by AWS.
AWS Management Console A graphical interface to manage compute, storage, and other cloud
resource (p. 243)s.
See Also https://aws.amazon.com/console.
AWS Management Portal for A web service for managing your AWS resource (p. 243)s using VMware vCenter.
vCenter You install the portal as a vCenter plug-in within your existing vCenter environment.
Once installed, you can migrate VMware VMs to Amazon EC2 (p. 209) and
manage AWS resources from within vCenter.
See Also https://aws.amazon.com/ec2/vcenter-portal/.
AWS Marketplace A web portal where qualified partners to market and sell their software to AWS
customers. AWS Marketplace is an online software store that helps customers find,
buy, and immediately start using the software and services that run on AWS.
See Also https://aws.amazon.com/partners/aws-marketplace/.
AWS Mobile Hub An integrated console that for building, testing, and monitoring mobile apps.
See Also https://aws.amazon.com/mobile.
AWS Mobile SDK A software development kit whose libraries, code samples, and documentation help
you build high quality mobile apps for the iOS, Android, Fire OS, Unity, and Xamarin
platforms.
See Also https://aws.amazon.com/mobile/sdk.
AWS OpsWorks A configuration management service that helps you use Chef to configure and
operate groups of instances and applications. You can define the application’s
architecture and the specification of each component including package installation,
software configuration, and resource (p. 243)s such as storage. You can
automate tasks based on time, load, lifecycle events, and more.
Version 1.0
215
See Also https://aws.amazon.com/opsworks/.
AWS Organizations An account management service that enables you to consolidate multiple AWS
accounts into an organization that you create and centrally manage.
See Also https://aws.amazon.com/organizations/.
AWS SDK for Go A software development kit for integrating your Go application with the full suite of
AWS services.
See Also https://aws.amazon.com/sdk-for-go/.
AWS SDK for Java A software development kit that provides Java APIs for many AWS
services including Amazon S3 (p. 211), Amazon EC2 (p. 209), Amazon
DynamoDB (p. 208), and more. The single, downloadable package includes the
AWS Java library, code samples, and documentation.
See Also https://aws.amazon.com/sdkforjava/.
AWS SDK for JavaScript in A software development kit for accessing AWS services from JavaScript code
the Browser running in the browser. Authenticate users through Facebook, Google, or Login
with Amazon using web identity federation. Store application data in Amazon
DynamoDB (p. 208), and save user files to Amazon S3 (p. 211).
See Also https://aws.amazon.com/sdk-for-browser/.
AWS SDK for JavaScript in A software development kit for accessing AWS services from JavaScript in
Node.js Node.js. The SDK provides JavaScript objects for AWS services, including Amazon
S3 (p. 211), Amazon EC2 (p. 209), Amazon DynamoDB (p. 208), and Amazon
Simple Workflow Service (Amazon SWF) (p. 211) . The single, downloadable
package includes the AWS JavaScript library and documentation.
See Also https://aws.amazon.com/sdk-for-node-js/.
AWS SDK for .NET A software development kit that provides .NET API actions for AWS services
including Amazon S3 (p. 211), Amazon EC2 (p. 209), IAM (p. 215), and more.
You can download the SDK as multiple service-specific packages on NuGet.
See Also https://aws.amazon.com/sdkfornet/.
AWS SDK for PHP A software development kit and open-source PHP library for integrating your
PHP application with AWS services like Amazon S3 (p. 211), Amazon
Glacier (p. 210), and Amazon DynamoDB (p. 208).
See Also https://aws.amazon.com/sdkforphp/.
AWS SDK for Python (Boto) A software development kit for using Python to access AWS services like Amazon
EC2 (p. 209), Amazon EMR (p. 209), Auto Scaling (p. 213), Amazon
Kinesis (p. 210), AWS Lambda (p. 215), and more.
See Also http://boto.readthedocs.org/en/latest/.
AWS SDK for Ruby A software development kit for accessing AWS services from Ruby. The SDK
provides Ruby classes for many AWS services including Amazon S3 (p. 211),
Amazon EC2 (p. 209), Amazon DynamoDB (p. 208). and more. The single,
downloadable package includes the AWS Ruby Library and documentation.
See Also https://aws.amazon.com/sdkforruby/.
AWS Security Token Service A web service for requesting temporary, limited-privilege credentials for AWS
(AWS STS) Identity and Access Management (IAM) (p. 215) users or for users that you
authenticate (federated users (p. 228)).
See Also https://aws.amazon.com/iam/.
AWS Service Catalog A web service that helps organizations create and manage catalogs of IT services
that are approved for use on AWS. These IT services can include everything from
virtual machine images, servers, software, and databases to complete multitier
application architectures.
See Also https://aws.amazon.com/servicecatalog/.
Version 1.0
216
AWS Storage Gateway A web service that connects an on-premises software appliance with cloud-based
storage to provide seamless and secure integration between an organization’s on-
premises IT environment and AWS’s storage infrastructure.
See Also https://aws.amazon.com/storagegateway/.
AWS Toolkit for Eclipse An open-source plug-in for the Eclipse Java IDE that makes it easier for developers
to develop, debug, and deploy Java applications using Amazon Web Services.
See Also https://aws.amazon.com/eclipse/.
AWS Toolkit for Visual Studio An extension for Microsoft Visual Studio that helps developers develop, debug, and
deploy .NET applications using Amazon Web Services.
See Also https://aws.amazon.com/visualstudio/.
AWS Tools for Windows A set of PowerShell cmdlets to help developers and administrators manage their
PowerShell AWS services from the Windows PowerShell scripting environment.
See Also https://aws.amazon.com/powershell/.
AWS Trusted Advisor A web service that inspects your AWS environment and makes recommendations
for saving money, improving system availability and performance, and helping to
close security gaps.
See Also https://aws.amazon.com/premiumsupport/trustedadvisor/.
AWS VPN CloudHub Enables secure communication between branch offices using a simple hub-and-
spoke model, with or without a VPC (p. 253).
AWS WAF A web application firewall service that controls access to content by allowing or
blocking web requests based on criteria that you specify, such as header values
or the IP addresses that the requests originate from. AWS WAF helps protect web
applications from common web exploits that could affect application availability,
compromise security, or consume excessive resources.
See Also https://aws.amazon.com/waf/.
B
W (p. 254) | X, Y, Z (p. 254)
basic monitoring Monitoring of AWS provided metrics derived at a 5-minute frequency.
batch See document batch.
BGP ASN Border Gateway Protocol Autonomous System Number. A unique identifier for a
network, for use in BGP routing. Amazon EC2 (p. 209) supports all 2-byte ASN
numbers in the range of 1 – 65335, with the exception of 7224, which is reserved.
batch prediction Amazon Machine Learning: An operation that processes multiple input data
observations at one time (asynchronously). Unlike real-time predictions, batch
predictions are not available until all predictions have been processed.
See Also real-time predictions.
billing See AWS Billing and Cost Management.
binary attribute Amazon Machine Learning: An attribute for which one of two possible values is
possible. Valid positive values are 1, y, yes, t, and true answers. Valid negative
values are 0, n, no, f, and false. Amazon Machine Learning outputs 1 for positive
values and 0 for negative values.
See Also attribute.
Version 1.0
217
binary classification model Amazon Machine Learning: A machine learning model that predicts the answer to
questions where the answer can be expressed as a binary variable. For example,
questions with answers of “1” or “0”, “yes” or “no”, “will click” or “will not click” are
questions that have binary answers. The result for a binary classification model
is always either a “1” (for a “true” or affirmative answers) or a “0” (for a “false” or
negative answers).
blacklist A list of IP addresses, email addresses, or domains that an Internet service

provider (p. 231) suspects to be the source of spam (p. 248). The ISP blocks
incoming email from these addresses or domains.
block A data set. Amazon EMR (p. 209) breaks large amounts of data into subsets.
Each subset is called a data block. Amazon EMR assigns an ID to each block and
uses a hash table to keep track of block processing.
block device A storage device that supports reading and (optionally) writing data in fixed-size
blocks, sectors, or clusters.
block device mapping A mapping structure for every AMI (p. 210) and instance (p. 231) that specifies
the block devices attached to the instance.
blue/green deployment AWS CodeDeploy: A deployment method in which the instances in a deployment
group (the original environment) are replaced by a different set of instances (the
replacement environment).
bootstrap action A user-specified default or custom action that runs a script or an application on all
nodes of a job flow before Hadoop (p. 229) starts.
Border Gateway Protocol See BGP ASN.

Autonomous System Number
bounce A failed email delivery attempt.
breach Auto Scaling (p. 213): The condition in which a user-set threshold (upper or lower
boundary) is passed. If the duration of the breach is significant, as set by a breach
duration parameter, it can possibly start a scaling activity (p. 245).
bucket Amazon Simple Storage Service (Amazon S3) (p. 211): A container for stored
objects. Every object is contained in a bucket. For example, if the object named
photos/puppy.jpg is stored in the johnsmith bucket, then authorized users can
access the object with the URL http://johnsmith.s3.amazonaws.com/photos/
puppy.jpg.
bucket owner The person or organization that owns a bucket (p. 218) in Amazon S3 (p. 211).
Just as Amazon is the only owner of the domain name Amazon.com, only one
person or organization can own a bucket.
bundling A commonly used term for creating an Amazon Machine Image (AMI) (p. 210). It
specifically refers to creating instance store-backed AMI (p. 231)s.
C
W (p. 254) | X, Y, Z (p. 254)
cache cluster A logical cache distributed over multiple cache node (p. 219)s. A cache cluster
can be set up with a specific number of cache nodes.
Version 1.0
218
cache cluster identifier Customer-supplied identifier for the cache cluster that must be unique for that
customer in an AWS region (p. 242).
cache engine version The version of the Memcached service that is running on the cache node.
cache node A fixed-size chunk of secure, network-attached RAM. Each cache node runs an
instance of the Memcached service, and has its own DNS name and port. Multiple
types of cache nodes are supported, each with varying amounts of associated
memory.
cache node type An EC2 instance (p. 225) type used to run the cache node.
cache parameter group A container for cache engine parameter values that can be applied to one or more
cache clusters.
cache security group A group maintained by ElastiCache that combines ingress authorizations to cache
nodes for hosts belonging to Amazon EC2 (p. 209) security group (p. 246)s
specified through the console or the API or command line tools.
canned access policy A standard access control policy that you can apply to a bucket (p. 218) or object.
Options include: private, public-read, public-read-write, and authenticated-read.
canonicalization The process of converting data into a standard format that a service such as
Amazon S3 (p. 211) can recognize.
capacity The amount of available compute size at a given time. Each Auto Scaling
group (p. 213) is defined with a minimum and maximum compute size. A scaling
activity (p. 245) increases or decreases the capacity within the defined minimum
and maximum values.
cartesian product processor A processor that calculates a cartesian product. Also known as a cartesian data
processor.
cartesian product A mathematical operation that returns a product from multiple sets.
certificate A credential that some AWS products use to authenticate AWS account (p. 207)s
and users. Also known as an X.509 certificate (p. 254) . The certificate is paired
with a private key.
chargeable resources Features or services whose use incurs fees. Although some AWS products are
free, others include charges. For example, in an AWS CloudFormation (p. 213)
stack (p. 248), AWS resource (p. 243)s that have been created incur charges.
The amount charged depends on the usage load. Use the Amazon Web Services
Simple Monthly Calculator at http://calculator.s3.amazonaws.com/calc5.html to
estimate your cost prior to creating instances, stacks, or other resources.
CIDR block Classless Inter-Domain Routing. An Internet protocol address allocation and route
aggregation methodology.
See Also Classless Inter-Domain Routing in Wikipedia.
ciphertext Information that has been encrypted (p. 226), as opposed to plaintext (p. 239),
which is information that has not.
ClassicLink A feature for linking an EC2-Classic instance (p. 231) to a VPC (p. 253),
allowing your EC2-Classic instance to communicate with VPC instances using
private IP addresses.
See Also link to VPC, unlink from VPC.
classification In machine learning, a type of problem that seeks to place (classify) a data sample
into a single category or “class.” Often, classification problems are modeled to
choose one category (class) out of two. These are binary classification problems.
Version 1.0
219
Problems where more than two categories (classes) are available are called
"multiclass classification" problems.
See Also binary classification model, multiclass classification model.
cloud service provider A company that provides subscribers with access to Internet-hosted computing,
storage, and software services.
CloudHub See AWS VPN CloudHub.
CLI See AWS Command Line Interface (AWS CLI).
cluster A logical grouping of container instance (p. 221)s that you can place
task (p. 251)s on.
Amazon Elasticsearch Service (Amazon ES) (p. 209): A logical grouping of one
or more data nodes, optional dedicated master nodes, and storage required to run
Amazon Elasticsearch Service (Amazon ES) and operate your Amazon ES domain.
See Also data node, dedicated master node, node.
cluster compute instance A type of instance (p. 231) that provides a great amount of CPU power coupled
with increased networking performance, making it well suited for High Performance
Compute (HPC) applications and other demanding network-bound applications.
cluster placement group A logical cluster compute instance (p. 220) grouping to provide lower latency and
high-bandwidth connectivity between the instance (p. 231)s.
cluster status Amazon Elasticsearch Service (Amazon ES) (p. 209): An indicator of the health of
a cluster. A status can be green, yellow, or red. At the shard level, green means that
all shards are allocated to nodes in a cluster, yellow means that the primary shard is
allocated but the replica shards are not, and red means that the primary and replica
shards of at least one index are not allocated. The shard status determines the
index status, and the index status determines the cluster status.
CMK See customer master key (CMK).
CNAME Canonical Name Record. A type of resource record (p. 243) in the Domain Name
System (DNS) that specifies that the domain name is an alias of another, canonical
domain name. More simply, it is an entry in a DNS table that lets you alias one fully
qualified domain name to another.
complaint The event in which a recipient (p. 242) who does not want to receive an email
message clicks "Mark as Spam" within the email client, and the Internet service
provider (p. 231) sends a notification to Amazon SES (p. 211).
compound query Amazon CloudSearch (p. 208): A search request that specifies multiple search
criteria using the Amazon CloudSearch structured search syntax.
condition IAM (p. 215): Any restriction or detail about a permission. The condition is D in the
statement "A has permission to do B to C where D applies."
AWS WAF (p. 217): A set of attributes that AWS WAF searches for in web
requests to AWS resource (p. 243)s such as Amazon CloudFront (p. 208)
distributions. Conditions can include values such as the IP addresses that web
requests originate from or values in request headers. Based on the specified
conditions, you can configure AWS WAF to allow or block web requests to AWS
resources.
conditional parameter See mapping.
configuration API Amazon CloudSearch (p. 208): The API call that you use to create, configure, and
manage search domains.
Version 1.0
220
configuration template A series of key–value pairs that define parameters for various AWS products so that
AWS Elastic Beanstalk (p. 214) can provision them for an environment.
consistency model The method a service uses to achieve high availability. For example, it could involve
replicating data across multiple servers in a data center.
See Also eventual consistency.
console See AWS Management Console.
consolidated billing A feature of the AWS Organizations service for consolidating payment for multiple
AWS accounts. You create an organization that contains your AWS accounts, and
you use the master account of your organization to pay for all member accounts.
You can see a combined view of AWS costs that are incurred by all accounts in
your organization, and you can get detailed cost reports for individual accounts.
container A Linux container that was created from a Docker image as part of a task (p. 251).
container definition Specifies which Docker image (p. 224) to use for a container (p. 221), how
much CPU and memory the container is allocated, and more options. The container
definition is included as part of a task definition (p. 251).
container instance An EC2 instance (p. 225) that is running the Amazon EC2 Container Service
(Amazon ECS) (p. 209) agent and has been registered into a cluster (p. 220).
Amazon ECS task (p. 251)s are placed on active container instances.
container registry Stores, manages, and deploys Docker image (p. 224)s.
continuous delivery A software development practice in which code changes are automatically built,
tested, and prepared for a release to production.
See Also https://aws.amazon.com/devops/continuous-delivery/.
continuous integration A software development practice in which developers regularly merge code
changes into a central repository, after which automated builds and tests are run.
See Also https://aws.amazon.com/devops/continuous-integration/.
cooldown period Amount of time during which Auto Scaling (p. 213) does not allow the desired size
of the Auto Scaling group (p. 213) to be changed by any other notification from an
Amazon CloudWatch (p. 208) alarm (p. 207).
core node An EC2 instance (p. 225) that runs Hadoop (p. 229) map and reduce tasks and
stores data using the Hadoop Distributed File System (HDFS). Core nodes are
managed by the master node (p. 234), which assigns Hadoop tasks to nodes and
monitors their status. The EC2 instances you assign as core nodes are capacity
that must be allotted for the entire job flow run. Because core nodes store data, you
can't remove them from a job flow. However, you can add more core nodes to a
running job flow.
Core nodes run both the DataNodes and TaskTracker Hadoop daemons.
corpus Amazon CloudSearch (p. 208): A collection of data that you want to search.
credential helper AWS CodeCommit (p. 214): A program that stores credentials for repositories
and supplies them to Git when making connections to those repositories. The
AWS CLI (p. 214) includes a credential helper that you can use with Git when
connecting to AWS CodeCommit repositories.
credentials Also called access credentials or security credentials. In authentication and

authorization, a system uses credentials to identify who is making a call and
whether to allow the requested access. In AWS, these credentials are typically the
access key ID (p. 206) and the secret access key (p. 246).
Version 1.0
221
cross-account access The process of permitting limited, controlled use of resource (p. 243)s in one
AWS account (p. 207) by a user in another AWS account. For example, in AWS
CodeCommit (p. 214) and AWS CodeDeploy (p. 214) you can configure cross-
account access so that a user in AWS account A can access an AWS CodeCommit
repository created by account B. Or a pipeline in AWS CodePipeline (p. 214)
created by account A can use AWS CodeDeploy resources created by account B.
In IAM (p. 215) you use a role (p. 244) to delegate (p. 223) temporary access
to a user (p. 252) in one account to resources in another.
cross-region replication A client-side solution for maintaining identical copies of Amazon

DynamoDB (p. 208) tables across different AWS region (p. 242)s, in near real
time.
customer gateway A router or software application on your side of a VPN tunnel that is managed
by Amazon VPC (p. 211). The internal interfaces of the customer gateway are
attached to one or more devices in your home network. The external interface is
attached to the virtual private gateway (p. 253) across the VPN tunnel.
customer managed policy An IAM (p. 215) managed policy (p. 234) that you create and manage in your
AWS account (p. 207).
customer master key (CMK) The fundamental resource (p. 243) that AWS Key Management Service (AWS
KMS) (p. 215) manages. CMKs can be either customer managed keys or AWS
managed keys. Use CMKs inside AWS KMS to encrypt (p. 226) or decrypt up to 4
kilobytes of data directly or to encrypt generated data keys, which are then used to
encrypt or decrypt larger amounts of data outside of the service.
D
W (p. 254) | X, Y, Z (p. 254)
dashboard See service health dashboard.
data consistency A concept that describes when data is written or updated successfully and all
copies of the data are updated in all AWS region (p. 242)s. However, it takes
time for the data to propagate to all storage locations. To support varied application
requirements, Amazon DynamoDB (p. 208) supports both eventually consistent
and strongly consistent reads.
See Also eventual consistency, eventually consistent read, strongly consistent read.
data node Amazon Elasticsearch Service (Amazon ES) (p. 209): An Elasticsearch instance
that holds data and responds to data upload requests.
See Also dedicated master node, node.
data schema See schema.
data source The database, file, or repository that provides information required by an application
or database. For example, in AWS OpsWorks (p. 215), valid data sources
include an instance (p. 231) for a stack’s MySQL layer or a stack’s Amazon
RDS (p. 210) service layer. In Amazon Redshift (p. 210), valid data sources
include text files in an Amazon S3 (p. 211) bucket (p. 218), in an Amazon
EMR (p. 209) cluster, or on a remote host that a cluster can access through an
SSH connection.
See Also datasource.
database engine The database software and version running on the DB instance (p. 223).
Version 1.0
222
database name The name of a database hosted in a DB instance (p. 223). A DB instance can host
multiple databases, but databases hosted by the same DB instance must each have
a unique name within that instance.
datasource Amazon Machine Learning (p. 210): An object that contains metadata about the
input data. Amazon ML reads the input data, computes descriptive statistics on its
attributes, and stores the statistics—along with a schema and other information—as
part of the datasource object. Amazon ML uses datasources to train and evaluate a
machine learning model and generate batch predictions.
See Also data source.
DB compute class Size of the database compute platform used to run the instance.
DB instance An isolated database environment running in the cloud. A DB instance can contain
multiple user-created databases.
DB instance identifier User-supplied identifier for the DB instance. The identifier must be unique for that
user in an AWS region (p. 242).
DB parameter group A container for database engine parameter values that apply to one or more DB
instance (p. 223)s.
DB security group A method that controls access to the DB instance (p. 223). By default, network
access is turned off to DB instances. After ingress is configured for a security
group (p. 246), the same rules apply to all DB instances associated with that
group.
DB snapshot A user-initiated point backup of a DB instance (p. 223).
Dedicated Host A physical server with EC2 instance (p. 225) capacity fully dedicated to a user.
Dedicated Instance An instance (p. 231) that is physically isolated at the host hardware level and
launched within a VPC (p. 253).
dedicated master node Amazon Elasticsearch Service (Amazon ES) (p. 209): An Elasticsearch instance
that performs cluster management tasks, but does not hold data or respond to
data upload requests. Amazon Elasticsearch Service (Amazon ES) uses dedicated
master nodes to increase cluster stability.
See Also data node, node.
Dedicated Reserved Instance An option that you purchase to guarantee that sufficient capacity will be available to
launch Dedicated Instance (p. 223)s into a VPC (p. 253).
delegation Within a single AWS account (p. 207): Giving AWS user (p. 252)s access to
resource (p. 243)s in your AWS account.
Between two AWS accounts: Setting up a trust between the account that owns the
resource (the trusting account), and the account that contains the users that need to
access the resource (the trusted account).
See Also trust policy.
delete marker An object with a key and version ID, but without content. Amazon S3 (p. 211)
inserts delete markers automatically into versioned bucket (p. 218)s when an
object is deleted.
deliverability The likelihood that an email message will arrive at its intended destination.
deliveries The number of email messages, sent through Amazon SES (p. 211),
that were accepted by an Internet service provider (p. 231) for delivery to
recipient (p. 242)s over a period of time.
Version 1.0
223
deny The result of a policy (p. 239) statement that includes deny as the effect, so that a
specific action or actions are expressly forbidden for a user, group, or role. Explicit
deny take precedence over explicit allow (p. 207).
deployment configuration AWS CodeDeploy (p. 214): A set of deployment rules and success and failure
conditions used by the service during a deployment.
deployment group AWS CodeDeploy (p. 214): A set of individually tagged instance (p. 231)s, EC2
instance (p. 225)s in Auto Scaling group (p. 213)s, or both.
detailed monitoring Monitoring of AWS provided metrics derived at a 1-minute frequency.
Description property A property added to parameters, resource (p. 243)s, resource properties,
mappings, and outputs to help you to document AWS CloudFormation (p. 213)
template elements.
dimension A name–value pair (for example, InstanceType=m1.small, or EngineName=mysql),

that contains additional information to identify a metric.
discussion forums A place where AWS users can post technical questions and feedback to help
accelerate their development efforts and to engage with the AWS community. The
discussion forums are located at https://aws.amazon.com/forums/.
distribution A link between an origin server (such as an Amazon S3 (p. 211)

bucket (p. 218)) and a domain name, which CloudFront (p. 208) automatically
assigns. Through this link, CloudFront identifies the object you have stored in your
origin server (p. 238).
DKIM DomainKeys Identified Mail. A standard that email senders use to sign their
messages. ISPs use those signatures to verify that messages are legitimate. For
more information, see http://www.dkim.org.
DNS See Domain Name System.
Docker image A layered file system template that is the basis of a Docker container (p. 221).
Docker images can comprise specific operating systems or applications.
document Amazon CloudSearch (p. 208): An item that can be returned as a search result.
Each document has a collection of fields that contain the data that can be searched
or returned. The value of a field can be either a string or a number. Each document
must have a unique ID and at least one field.
document batch Amazon CloudSearch (p. 208): A collection of add and delete document
operations. You use the document service API to submit batches to update the data
in your search domain.
document service API Amazon CloudSearch (p. 208): The API call that you use to submit document
batches to update the data in a search domain.
document service endpoint Amazon CloudSearch (p. 208): The URL that you connect to when sending
document updates to an Amazon CloudSearch domain. Each search domain has a
unique document service endpoint that remains the same for the life of the domain.
domain Amazon Elasticsearch Service (Amazon ES) (p. 209): The hardware, software,
and data exposed by Amazon Elasticsearch Service (Amazon ES) endpoints.
An Amazon ES domain is a service wrapper around an Elasticsearch cluster. An
Amazon ES domain encapsulates the engine instances that process Amazon
ES requests, the indexed data that you want to search, snapshots of the domain,
access policies, and metadata.
See Also cluster, Elasticsearch.
Version 1.0
224
Domain Name System A service that routes Internet traffic to websites by translating friendly domain
names like www.example.com into the numeric IP addresses like 192.0.2.1 that
computers use to connect to each other.
Donation button An HTML-coded button to provide an easy and secure way for US-based, IRS-
certified 501(c)3 nonprofit organizations to solicit donations.
DynamoDB stream An ordered flow of information about changes to items in anAmazon

DynamoDB (p. 208) table. When you enable a stream on a table, DynamoDB
captures information about every modification to data items in the table.
See Also Amazon DynamoDB Streams.
E
W (p. 254) | X, Y, Z (p. 254)
EBS See Amazon Elastic Block Store (Amazon EBS).
EC2 See Amazon Elastic Compute Cloud (Amazon EC2).
EC2 compute unit An AWS standard for compute CPU and memory. You can use this measure to
evaluate the CPU capacity of different EC2 instance (p. 225) types.
EC2 instance A compute instance (p. 231) in the Amazon EC2 (p. 209) service. Other AWS
services use the term EC2 instance to distinguish these instances from other types
of instances they support.
ECR See Amazon EC2 Container Registry (Amazon ECR).
ECS See Amazon EC2 Container Service (Amazon ECS).
edge location A site that CloudFront (p. 208) uses to cache copies of your content for faster
delivery to users at any location.
EFS See Amazon Elastic File System (Amazon EFS).
Elastic A company that provides open-source solutions—including Elasticsearch, Logstash,

Kibana, and Beats—that are designed to take data from any source and search,
analyze, and visualize it in real time.
Amazon Elasticsearch Service (Amazon ES) is an AWS managed service for

deploying, operating, and scaling Elasticsearch in the AWS Cloud.
See Also Amazon Elasticsearch Service (Amazon ES), Elasticsearch.
Elastic Block Store See Amazon Elastic Block Store (Amazon EBS).
Elastic IP address A fixed (static) IP address that you have allocated in Amazon EC2 (p. 209) or
Amazon VPC (p. 211) and then attached to an instance (p. 231). Elastic IP
addresses are associated with your account, not a specific instance. They are
elastic because you can easily allocate, attach, detach, and free them as your
needs change. Unlike traditional static IP addresses, Elastic IP addresses allow you
to mask instance or Availability Zone (p. 213) failures by rapidly remapping your
public IP addresses to another instance.
Elastic Load Balancing A web service that improves an application's availability by distributing incoming
traffic between two or more EC2 instance (p. 225)s.
See Also https://aws.amazon.com/elasticloadbalancing.
Version 1.0
225
elastic network interface An additional network interface that can be attached to an instance (p. 231). ENIs
include a primary private IP address, one or more secondary private IP addresses,
an elastic IP address (optional), a MAC address, membership in specified security
group (p. 246)s, a description, and a source/destination check flag. You can
create an ENI, attach it to an instance, detach it from an instance, and attach it to
another instance.
Elasticsearch An open source, real-time distributed search and analytics engine used for full-
text search, structured search, and analytics. Elasticsearch was developed by the
Elastic company.
Amazon Elasticsearch Service (Amazon ES) is an AWS managed service for

deploying, operating, and scaling Elasticsearch in the AWS Cloud.
See Also Amazon Elasticsearch Service (Amazon ES), Elastic.
EMR See Amazon EMR (Amazon EMR).
encrypt To use a mathematical algorithm to make data unintelligible to unauthorized

user (p. 252)s while allowing authorized users a method (such as a key or
password) to convert the altered data back to its original state.
encryption context A set of key–value pairs that contains additional information associated with AWS
Key Management Service (AWS KMS) (p. 215)–encrypted information.
endpoint A URL that identifies a host and port as the entry point for a web service. Every
web service request contains an endpoint. Most AWS products provide regional
endpoints to enable faster connectivity.
Amazon ElastiCache (p. 209): The DNS name of a cache node (p. 219).
Amazon RDS (p. 210): The DNS name of a DB instance (p. 223).
AWS CloudFormation (p. 213): The DNS name or IP address of the server that
receives an HTTP request.
endpoint port Amazon ElastiCache (p. 209): The port number used by a cache node (p. 219).
Amazon RDS (p. 210): The port number used by a DB instance (p. 223).
envelope encryption The use of a master key and a data key to algorithmically protect data. The master
key is used to encrypt and decrypt the data key and the data key is used to encrypt
and decrypt the data itself.
environment AWS Elastic Beanstalk (p. 214): A specific running instance of an

application (p. 212). The application has a CNAME and includes an application
version and a customizable configuration (which is inherited from the default
container type).
AWS CodeDeploy (p. 214): Instances in a deployment group in a blue/green

deployment. At the start of a blue/green deployment, the deployment group is
made up of instances in the original environment. At the end of the deployment, the
deployment group is made up of instances in the replacement environment.
environment configuration A collection of parameters and settings that define how an environment and its
associated resources behave.
ephemeral store See instance store.
epoch The date from which time is measured. For most Unix environments, the epoch is
January 1, 1970.
Version 1.0
226
evaluation Amazon Machine Learning: The process of measuring the predictive performance
of a machine learning (ML) model.
Also a machine learning object that stores the details and result of an ML model
evaluation.
evaluation datasource The data that Amazon Machine Learning uses to evaluate the predictive accuracy
of a machine learning model.
eventual consistency The method through which AWS products achieve high availability, which involves
replicating data across multiple servers in Amazon's data centers. When data is
written or updated and Success is returned, all copies of the data are updated.
However, it takes time for the data to propagate to all storage locations. The data
will eventually be consistent, but an immediate read might not show the change.
Consistency is usually reached within seconds.
See Also data consistency, eventually consistent read, strongly consistent read.
eventually consistent read A read process that returns data from only one region and might not show the most
recent write information. However, if you repeat your read request after a short time,
the response should eventually return the latest data.
See Also data consistency, eventual consistency, strongly consistent read.
eviction The deletion by CloudFront (p. 208) of an object from an edge location (p. 225)
before its expiration time. If an object in an edge location isn't frequently requested,
CloudFront might evict the object (remove the object before its expiration date) to
make room for objects that are more popular.
exbibyte A contraction of exa binary byte, an exbibyte is 2^60 or 1,152,921,504,606,846,976

bytes. An exabyte (EB) is 10^18 or 1,000,000,000,000,000,000 bytes. 1,024 EiB is
a zebibyte (p. 254).
expiration For CloudFront (p. 208) caching, the time when CloudFront stops responding
to user requests with an object. If you don't use headers or CloudFront
distribution (p. 224) settings to specify how long you want objects to stay in
an edge location (p. 225), the objects expire after 24 hours. The next time a
user requests an object that has expired, CloudFront forwards the request to the
origin (p. 238).
explicit launch permission An Amazon Machine Image (AMI) (p. 210) launch permission granted to a specific
AWS account (p. 207).
exponential backoff A strategy that incrementally increases the wait between retry attempts in order to
reduce the load on the system and increase the likelihood that repeated requests
will succeed. For example, client applications might wait up to 400 milliseconds
before attempting the first retry, up to 1600 milliseconds before the second, up to
6400 milliseconds (6.4 seconds) before the third, and so on.
expression Amazon CloudSearch (p. 208): A numeric expression that you can use to control
how search hits are sorted. You can construct Amazon CloudSearch expressions
using numeric fields, other rank expressions, a document's default relevance score,
and standard numeric operators and functions. When you use the sort option to
specify an expression in a search request, the expression is evaluated for each
search hit and the hits are listed according to their expression values.
F
Version 1.0
227
W (p. 254) | X, Y, Z (p. 254)
facet Amazon CloudSearch (p. 208): An index field that represents a category that you
want to use to refine and filter search results.
facet enabled Amazon CloudSearch (p. 208): An index field option that enables facet
information to be calculated for the field.
FBL See feedback loop.
feature transformation Amazon Machine Learning: The machine learning process of constructing more
predictive input representations or “features” from the raw input variables to
optimize a machine learning model’s ability to learn and generalize. Also known as
data transformation or feature engineering.
federated identity Allows individuals to sign in to different networks or services, using the same
management group or personal credentials to access data across all networks. With identity
federation in AWS, external identities (federated users) are granted secure access
to resource (p. 243)s in an AWS account (p. 207) without having to create IAM
user (p. 252)s. These external identities can come from a corporate identity store
(such as LDAP or Windows Active Directory) or from a third party (such as Login
with Amazon, Facebook, or Google). AWS federation also supports SAML 2.0.
federated user See federated identity management.
federation See federated identity management.
feedback loop The mechanism by which a mailbox provider (for example, an Internet service
provider (p. 231)) forwards a recipient (p. 242)'s complaint (p. 220) back to the
sender (p. 246).
field weight The relative importance of a text field in a search index. Field weights control how
much matches in particular text fields affect a document's relevance score.
filter A criterion that you specify to limit the results when you list or describe your
Amazon EC2 (p. 209) resource (p. 243)s.
filter query A way to filter search results without affecting how the results are scored and
sorted. Specified with the Amazon CloudSearch (p. 208) fq parameter.
FIM See federated identity management.
Firehose See Amazon Kinesis Firehose.
format version See template format version.
forums See discussion forums.
function See intrinsic function.
fuzzy search A simple search query that uses approximate string matching (fuzzy matching) to
correct for typographical errors and misspellings.
G
W (p. 254) | X, Y, Z (p. 254)
Version 1.0
228
geospatial search A search query that uses locations specified as a latitude and longitude to
determine matches and sort the results.
gibibyte A contraction of giga binary byte, a gibibyte is 2^30 or 1,073,741,824 bytes. A

gigabyte (GB) is 10^9 or 1,000,000,000 bytes. 1,024 GiB is a tebibyte (p. 251).
GitHub A web-based repository that uses Git for version control.
global secondary index An index with a partition key and a sort key that can be different from those on the
table. A global secondary index is considered global because queries on the index
can span all of the data in a table, across all partitions.
See Also local secondary index.
grant AWS Key Management Service (AWS KMS) (p. 215): A mechanism for giving
AWS principal (p. 240)s long-term permissions to use customer master key
(CMK) (p. 222)s.
grant token A type of identifier that allows the permissions in a grant (p. 229) to take effect
immediately.
ground truth The observations used in the machine learning (ML) model training process that
include the correct value for the target attribute. To train an ML model to predict
house sales prices, the input observations would typically include prices of previous
house sales in the area. The sale prices of these houses constitute the ground truth.
group A collection of IAM (p. 215) user (p. 252)s. You can use IAM groups to simplify
specifying and managing permissions for multiple users.
H
W (p. 254) | X, Y, Z (p. 254)
Hadoop Software that enables distributed processing for big data by using clusters and
simple programming models. For more information, see http://hadoop.apache.org.
hard bounce A persistent email delivery failure such as "mailbox does not exist."
hardware VPN A hardware-based IPsec VPN connection over the Internet.
health check A system call to check on the health status of each instance in an Auto
Scaling (p. 213) group.
high-quality email Email that recipients find valuable and want to receive. Value means different
things to different recipients and can come in the form of offers, order confirmations,
receipts, newsletters, etc.
highlights Amazon CloudSearch (p. 208): Excerpts returned with search results that show
where the search terms appear within the text of the matching documents.
highlight enabled Amazon CloudSearch (p. 208): An index field option that enables matches within
the field to be highlighted.
hit A document that matches the criteria specified in a search request. Also referred to
as a search result.
HMAC Hash-based Message Authentication Code. A specific construction for calculating

a message authentication code (MAC) involving a cryptographic hash function in
Version 1.0
229
combination with a secret key. You can use it to verify both the data integrity and
the authenticity of a message at the same time. AWS calculates the HMAC using a
standard, cryptographic hash algorithm, such as SHA-256.
hosted zone A collection of resource record (p. 243) sets that Amazon Route 53 (p. 211)
hosts. Like a traditional DNS zone file, a hosted zone represents a collection of
records that are managed together under a single domain name.
HVM virtualization Hardware Virtual Machine virtualization. Allows the guest VM to run as though it is
on a native hardware platform, except that it still uses paravirtual (PV) network and
storage drivers for improved performance.
See Also PV virtualization.
I
W (p. 254) | X, Y, Z (p. 254)
IAM See AWS Identity and Access Management (IAM).
IAM group See group.
IAM policy simulator See policy simulator.
IAM role See role.
IAM user See user.
Identity and Access See AWS Identity and Access Management (IAM).
Management
identity provider (IdP) An IAM (p. 215) entity that holds metadata about external identity providers.
IdP See identity provider (IdP) .
image See Amazon Machine Image (AMI).
import/export station A machine that uploads or downloads your data to or from Amazon S3 (p. 211).
import log A report that contains details about how AWS Import/Export (p. 215) processed
your data.
in-place deployment AWS CodeDeploy: A deployment method in which the application on each instance
in the deployment group is stopped, the latest application revision is installed, and
the new version of the application is started and validated. You can choose to use
a load balancer so each instance is deregistered during its deployment and then
restored to service after the deployment is complete.
index See search index.
index field A name–value pair that is included in an Amazon CloudSearch (p. 208) domain's
index. An index field can contain text or numeric data, dates, or a location.
indexing options Configuration settings that define an Amazon CloudSearch (p. 208) domain's
index fields, how document data is mapped to those index fields, and how the index
fields can be used.
inline policy An IAM (p. 215) policy (p. 239) that is embedded in a single IAM user (p. 252),
group (p. 229), or role (p. 244).
Version 1.0
230
input data Amazon Machine Learning: The observations that you provide to Amazon Machine
Learning to train and evaluate a machine learning model and generate predictions.
instance A copy of an Amazon Machine Image (AMI) (p. 210) running as a virtual server in
the AWS cloud.
instance family A general instance type (p. 231) grouping using either storage or CPU capacity.
instance group A Hadoop (p. 229) cluster contains one master instance group that contains
one master node (p. 234), a core instance group containing one or more core
node (p. 221) and an optional task node (p. 251) instance group, which can
contain any number of task nodes.
instance profile A container that passes IAM (p. 215) role (p. 244) information to an EC2
instance (p. 225) at launch.
instance store Disk storage that is physically attached to the host computer for an EC2
instance (p. 225), and therefore has the same lifespan as the instance. When the
instance is terminated, you lose any data in the instance store.
instance store-backed AMI A type of Amazon Machine Image (AMI) (p. 210) whose instance (p. 231)s use
an instance store (p. 231) volume (p. 253) as the root device. Compare this
with instances launched from Amazon EBS (p. 208)-backed AMIs, which use an
Amazon EBS volume as the root device.
instance type A specification that defines the memory, CPU, storage capacity, and hourly cost for
an instance (p. 231). Some instance types are designed for standard applications,
whereas others are designed for CPU-intensive, memory-intensive applications,
and so on.
Internet gateway Connects a network to the Internet. You can route traffic for IP addresses outside
your VPC (p. 253) to the Internet gateway.
Internet service provider A company that provides subscribers with access to the Internet. Many ISPs are
also mailbox provider (p. 234)s. Mailbox providers are sometimes referred to as
ISPs, even if they only provide mailbox services.
intrinsic function A special action in a AWS CloudFormation (p. 213) template that assigns
values to properties not available until runtime. These functions follow the format
Fn::Attribute, such as Fn::GetAtt. Arguments for intrinsic functions can be
parameters, pseudo parameters, or the output of other intrinsic functions.
IP address A numerical address (for example, 192.0.2.44) that networked devices use
to communicate with one another using the Internet Protocol (IP). All EC2
instance (p. 225)s are assigned two IP addresses at launch, which are directly
mapped to each other through network address translation (NAT (p. 236)):
a private IP address (following RFC 1918) and a public IP address. Instances
launched in a VPC (p. 211) are assigned only a private IP address. Instances
launched in your default VPC are assigned both a private IP address and a public
IP address.
IP match condition AWS WAF (p. 217): An attribute that specifies the IP addresses or IP
address ranges that web requests originate from. Based on the specified IP
addresses, you can configure AWS WAF to allow or block web requests to AWS
resource (p. 243)s such as Amazon CloudFront (p. 208) distributions.
ISP See Internet service provider.
issuer The person who writes a policy (p. 239) to grant permissions to a
resource (p. 243). The issuer (by definition) is always the resource owner. AWS
Version 1.0
231
does not permit Amazon SQS (p. 211) users to create policies for resources they
don't own. If John is the resource owner, AWS authenticates John's identity when
he submits the policy he's written to grant permissions for that resource.
item A group of attributes that is uniquely identifiable among all of the other items. Items
in Amazon DynamoDB (p. 208) are similar in many ways to rows, records, or
tuples in other database systems.
J
W (p. 254) | X, Y, Z (p. 254)
job flow Amazon EMR (p. 209): One or more step (p. 249)s that specify all of the
functions to be performed on the data.
job ID A five-character, alphanumeric string that uniquely identifies an AWS Import/

Export (p. 215) storage device in your shipment. AWS issues the job ID in
response to a CREATE JOB email command.
job prefix An optional string that you can add to the beginning of an AWS Import/
Export (p. 215) log file name to prevent collisions with objects of the same name.
See Also key prefix.
JSON JavaScript Object Notation. A lightweight data interchange format. For information
about JSON, see http://www.json.org/.
junk folder The location where email messages that various filters determine to be of lesser
value are collected so that they do not arrive in the recipient (p. 242)'s inbox but
are still accessible to the recipient. This is also referred to as a spam (p. 248) or
bulk folder.
K
W (p. 254) | X, Y, Z (p. 254)
key A credential that identifies an AWS account (p. 207) or user (p. 252) to AWS
(such as the AWS secret access key (p. 246)).
Amazon Simple Storage Service (Amazon S3) (p. 211), Amazon EMR (Amazon
EMR) (p. 209): The unique identifier for an object in a bucket (p. 218). Every
object in a bucket has exactly one key. Because a bucket and key together uniquely
identify each object, you can think of Amazon S3 as a basic data map between
the bucket + key, and the object itself. You can uniquely address every object
in Amazon S3 through the combination of the web service endpoint, bucket
name, and key, as in this example: http://doc.s3.amazonaws.com/2006-03-01/
AmazonS3.wsdl, where doc is the name of the bucket, and 2006-03-01/
AmazonS3.wsdl is the key.
AWS Import/Export (p. 215): The name of an object in Amazon S3. It is a

sequence of Unicode characters whose UTF-8 encoding cannot exceed 1024 bytes.
Version 1.0
232
If a key, for example, logPrefix + import-log-JOBID, is longer than 1024 bytes, AWS
Elastic Beanstalk (p. 214) returns an InvalidManifestField error.
IAM (p. 215): In a policy (p. 239), a specific characteristic that is the basis for
restricting access (such as the current time, or the IP address of the requester).
Tagging resources: A general tag (p. 250) label that acts like a category for more
specific tag values. For example, you might have EC2 instance (p. 225) with the
tag key of Owner and the tag value of Jan. You can tag an AWS resource (p. 243)
with up to 10 key–value pairs. Not all AWS resources can be tagged.
key pair A set of security credentials that you use to prove your identity electronically. A key
pair consists of a private key and a public key.
key prefix A logical grouping of the objects in a bucket (p. 218). The prefix value is similar to
a directory name that enables you to store similar data under the same directory in
a bucket.
kibibyte A contraction of kilo binary byte, a kibibyte is 2^10 or 1,024 bytes. A kilobyte (KB) is
10^3 or 1,000 bytes. 1,024 KiB is a mebibyte (p. 235).
KMS See AWS Key Management Service (AWS KMS).
L
W (p. 254) | X, Y, Z (p. 254)
labeled data In machine learning, data for which you already know the target or “correct” answer.
launch configuration A set of descriptive parameters used to create new EC2 instance (p. 225)s in an
Auto Scaling (p. 213) activity.
A template that an Auto Scaling group (p. 213) uses to launch new EC2
instances. The launch configuration contains information such as the Amazon
Machine Image (AMI) (p. 210) ID, the instance type, key pairs, security
group (p. 246)s, and block device mappings, among other configuration settings.
launch permission An Amazon Machine Image (AMI) (p. 210) attribute that allows users to launch an
AMI.
lifecycle The lifecycle state of the EC2 instance (p. 225) contained in an Auto Scaling
group (p. 213). EC2 instances progress through several states over their lifespan;
these include Pending, InService, Terminating and Terminated.
lifecycle action An action that can be paused by Auto Scaling, such as launching or terminating an
EC2 instance.
lifecycle hook Enables you to pause Auto Scaling after it launches or terminates an EC2 instance
so that you can perform a custom action while the instance is not in service.
link to VPC The process of linking (or attaching) an EC2-Classic instance (p. 231) to a
ClassicLink-enabled VPC (p. 253).
See Also ClassicLink, unlink from VPC.
load balancer A DNS name combined with a set of ports, which together provide a destination
for all requests intended for your application. A load balancer can distribute traffic
to multiple application instances across every Availability Zone (p. 213) within a
Version 1.0
233
region (p. 242). Load balancers can span multiple Availability Zones within an
Amazon EC2 (p. 209) region, but they cannot span multiple regions.
local secondary index An index that has the same partition key as the table, but a different sort key. A
local secondary index is local in the sense that every partition of a local secondary
index is scoped to a table partition that has the same partition key value.
See Also local secondary index.
logical name A case-sensitive unique string within an AWS CloudFormation (p. 213) template
that identifies a resource (p. 243), mapping (p. 234), parameter, or output. In
an AWS CloudFormation template, each parameter, resource (p. 243), property,
mapping, and output must be declared with a unique logical name. You use the
logical name when dereferencing these items using the Ref function.
M
W (p. 254) | X, Y, Z (p. 254)
Mail Transfer Agent (MTA) Software that transports email messages from one computer to another by using a
client-server architecture.
mailbox provider An organization that provides email mailbox hosting services. Mailbox providers
are sometimes referred to as Internet service provider (p. 231)s, even if they only
provide mailbox services.
mailbox simulator A set of email addresses that you can use to test an Amazon SES (p. 211)-based
email sending application without sending messages to actual recipients. Each
email address represents a specific scenario (such as a bounce or complaint) and
generates a typical response that is specific to the scenario.
main route table The default route table (p. 244) that any new VPC (p. 253) subnet (p. 249)
uses for routing. You can associate a subnet with a different route table of your
choice. You can also change which route table is the main route table.
managed policy A standalone IAM (p. 215) policy (p. 239) that you can attach to multiple
user (p. 252)s, group (p. 229)s, and role (p. 244)s in your IAM
account (p. 207). Managed policies can either be AWS managed policies (which
are created and managed by AWS) or customer managed policies (which you
create and manage in your AWS account).
manifest When sending a create job request for an import or export operation, you describe
your job in a text file called a manifest. The manifest file is a YAML-formatted file
that specifies how to transfer data between your storage device and the AWS cloud.
manifest file Amazon Machine Learning: The file used for describing batch predictions. The
manifest file relates each input data file with its associated batch prediction results.
It is stored in the Amazon S3 output location.
mapping A way to add conditional parameter values to an AWS CloudFormation (p. 213)
template. You specify mappings in the template's optional Mappings section and
retrieve the desired value using the FN::FindInMap function.
marker See pagination token.
master node A process running on an Amazon Machine Image (AMI) (p. 210) that keeps track
of the work its core and task nodes complete.
Version 1.0
234
maximum price The maximum price you will pay to launch one or more Spot Instance (p. 248)s. If
your maximum price exceeds the current Spot price (p. 248) and your restrictions
are met, Amazon EC2 (p. 209) launches instances on your behalf.
maximum send rate The maximum number of email messages that you can send per second using
Amazon SES (p. 211).
mebibyte A contraction of mega binary byte, a mebibyte is 2^20 or 1,048,576 bytes. A

megabyte (MB) is 10^6 or 1,000,000 bytes. 1,024 MiB is a gibibyte (p. 229).
member resources See resource.
message ID Amazon Simple Email Service (Amazon SES) (p. 211): A unique identifier that is
assigned to every email message that is sent.
Amazon Simple Queue Service (Amazon SQS) (p. 211): The identifier returned
when you send a message to a queue.
metadata Information about other data or objects. In Amazon Simple Storage Service
(Amazon S3) (p. 211) and Amazon EMR (Amazon EMR) (p. 209) metadata
takes the form of name–value pairs that describe the object. These include default
metadata such as the date last modified and standard HTTP metadata such as
Content-Type. Users can also specify custom metadata at the time they store an
object. In Amazon Elastic Compute Cloud (Amazon EC2) (p. 209) metadata
includes data about an EC2 instance (p. 225) that the instance can retrieve to
determine things about itself, such as the instance type, the IP address, and so on.
metric An element of time-series data defined by a unique combination of exactly one

namespace (p. 236), exactly one metric name, and between zero and ten
dimensions. Metrics and the statistics derived from them are the basis of Amazon
CloudWatch (p. 208).
metric name The primary identifier of a metric, used in combination with a namespace (p. 236)
and optional dimensions.
MFA See multi-factor authentication (MFA).
micro instance A type of EC2 instance (p. 225) that is more economical to use if you have
occasional bursts of high CPU activity.
MIME See Multipurpose Internet Mail Extensions (MIME).
ML model In machine learning (ML), a mathematical model that generates predictions by

finding patterns in data. Amazon Machine Learning supports three types of ML
models: binary classification, multiclass classification, and regression. Also known
as a predictive model.
See Also binary classification model, multiclass classification model, regression
model.
MTA See Mail Transfer Agent (MTA).
Multi-AZ deployment A primary DB instance (p. 223) that has a synchronous standby replica in a
different Availability Zone (p. 213). The primary DB instance is synchronously
replicated across Availability Zones to the standby replica.
multiclass classification model A machine learning model that predicts values that belong to a limited, pre-defined
set of permissible values. For example, "Is this product a book, movie, or clothing?"
multi-factor authentication An optional AWS account (p. 207) security feature. Once you enable AWS
(MFA) MFA, you must provide a six-digit, single-use code in addition to your sign-in
Version 1.0
235
credentials whenever you access secure AWS webpages or the AWS Management
Console (p. 215). You get this single-use code from an authentication device that
you keep in your physical possession.
See Also https://aws.amazon.com/mfa/.
multi-valued attribute An attribute with more than one value.
multipart upload A feature that allows you to upload a single object as a set of parts.
Multipurpose Internet Mail An Internet standard that extends the email protocol to include non-ASCII text and
Extensions (MIME) nontext elements like attachments.
Multitool A cascading application that provides a simple command-line interface for

managing large datasets.
N
W (p. 254) | X, Y, Z (p. 254)
namespace An abstract container that provides context for the items (names, or technical terms,
or words) it holds, and allows disambiguation of homonym items residing in different
namespaces.
NAT Network address translation. A strategy of mapping one or more IP addresses

to another while data packets are in transit across a traffic routing device. This
is commonly used to restrict Internet communication to private instances while
allowing outgoing traffic.
See Also Network Address Translation and Protocol Translation, NAT gateway,
NAT instance.
NAT gateway A NAT (p. 236) device, managed by AWS, that performs network address
translation in a private subnet (p. 249), to secure inbound Internet traffic. A NAT
gateway uses both NAT and port address translation.
See Also NAT instance.
NAT instance A NAT (p. 236) device, configured by a user, that performs network address
translation in a VPC (p. 253) public subnet (p. 249) to secure inbound Internet
traffic.
See Also NAT gateway.
network ACL An optional layer of security that acts as a firewall for controlling traffic in and out
of a subnet (p. 249). You can associate multiple subnets with a single network
ACL (p. 206), but a subnet can be associated with only one network ACL at a
time.
Network Address Translation (NAT (p. 236)-PT) An Internet protocol standard defined in RFC 2766.
and Protocol Translation See Also NAT instance, NAT gateway.
n-gram processor A processor that performs n-gram transformations.

See Also n-gram transformation.
n-gram transformation Amazon Machine Learning: A transformation that aids in text string analysis.
An n-gram transformation takes a text variable as input and outputs strings by
sliding a window of size n words, where n is specified by the user, over the text,
and outputting every string of words of size n and all smaller sizes. For example,
Version 1.0
236
specifying the n-gram transformation with window size =2 returns all the two-word
combinations and all of the single words.
node Amazon Elasticsearch Service (Amazon ES) (p. 209): An Elasticsearch instance.
A node can be either a data instance or a dedicated master instance.
See Also dedicated master node.
NoEcho A property of AWS CloudFormation (p. 213) parameters that prevent the
otherwise default reporting of names and values of a template parameter. Declaring
the NoEcho property causes the parameter value to be masked with asterisks in the
report by the cfn-describe-stacks command.
NoSQL Nonrelational database systems that are highly available, scalable, and optimized
for high performance. Instead of the relational model, NoSQL databases (like
Amazon DynamoDB (p. 208)) use alternate models for data management, such
as key–value pairs or document storage.
null object A null object is one whose version ID is null. Amazon S3 (p. 211) adds a
null object to a bucket (p. 218) when versioning (p. 253) for that bucket is
suspended. It is possible to have only one null object for each key in a bucket.
number of passes The number of times that you allow Amazon Machine Learning to use the same
data records to train a machine learning model.
O
W (p. 254) | X, Y, Z (p. 254)
object Amazon Simple Storage Service (Amazon S3) (p. 211): The fundamental entity
type stored in Amazon S3. Objects consist of object data and metadata. The data
portion is opaque to Amazon S3.
Amazon CloudFront (p. 208): Any entity that can be served either over HTTP or a
version of RTMP.
observation Amazon Machine Learning: A single instance of data that Amazon Machine
Learning (Amazon ML) uses to either train a machine learning model how to
predict or to generate a prediction. Each row in an Amazon ML input data file is an
observation.
On-Demand Instance An Amazon EC2 (p. 209) pricing option that charges you for compute capacity by
the hour with no long-term commitment.
operation An API function. Also called an action.
optimistic locking A strategy to ensure that an item that you want to update has not been modified by
others before you perform the update. For Amazon DynamoDB (p. 208), optimistic
locking support is provided by the AWS SDKs.
organization AWS Organizations (p. 216): An entity that you create to consolidate and manage
your AWS accounts. An organization has one master account along with zero or
more member accounts.
organizational unit AWS Organizations (p. 216): A container for accounts within a root (p. 244) of
an organization. An organizational unit (OU) can contain other OUs.
Version 1.0
237
origin access identity Also called OAI. When using Amazon CloudFront (p. 208) to serve content with
an Amazon S3 (p. 211) bucket (p. 218) as the origin, a virtual identity that you
use to require users to access your content through CloudFront URLs instead of
Amazon S3 URLs. Usually used with CloudFront private content (p. 240).
origin server The Amazon S3 (p. 211) bucket (p. 218) or custom origin containing the
definitive original version of the content you deliver through CloudFront (p. 208).
original environment The instances in a deployment group at the start of an AWS CodeDeploy blue/
green deployment.
OSB transformation Orthogonal sparse bigram transformation. In machine learning, a transformation

that aids in text string analysis and that is an alternative to the n-gram
transformation. OSB transformations are generated by sliding the window of size n
words over the text, and outputting every pair of words that includes the first word in
the window.
See Also n-gram transformation.
OU See organizational unit.
output location Amazon Machine Learning: An Amazon S3 location where the results of a batch
prediction are stored.
P
W (p. 254) | X, Y, Z (p. 254)
pagination The process of responding to an API request by returning a large list of records in
small separate parts. Pagination can occur in the following situations:
• The client sets the maximum number of returned records to a value below the
total number of records.
• The service has a default maximum number of returned records that is lower than
the total number of records.
When an API response is paginated, the service sends a subset of the large list of
records and a pagination token that indicates that more records are available. The
client includes this pagination token in a subsequent API request, and the service
responds with the next subset of records. This continues until the service responds
with a subset of records and no pagination token, indicating that all records have
been sent.
pagination token A marker that indicates that an API response contains a subset of a larger list of
records. The client can return this marker in a subsequent API request to retrieve
the next subset of records until the service responds with a subset of records and
no pagination token, indicating that all records have been sent.
See Also pagination.
paid AMI An Amazon Machine Image (AMI) (p. 210) that you sell to other Amazon
EC2 (p. 209) users on AWS Marketplace (p. 215).
paravirtual virtualization See PV virtualization.
part A contiguous portion of the object's data in a multipart upload request.
Version 1.0
238
partition key A simple primary key, composed of one attribute (also known as a hash attribute).
See Also partition key, sort key.
PAT Port address translation.
pebibyte A contraction of peta binary byte, a pebibyte is 2^50 or 1,125,899,906,842,624

bytes. A petabyte (PB) is 10^15 or 1,000,000,000,000,000 bytes. 1,024 PiB is an
exbibyte (p. 227).
period See sampling period.
permission A statement within a policy (p. 239) that allows or denies access to a particular
resource (p. 243). You can state any permission like this: "A has permission to do
B to C." For example, Jane (A) has permission to read messages (B) from John's
Amazon SQS (p. 211) queue (C). Whenever Jane sends a request to Amazon
SQS to use John's queue, the service checks to see if she has permission and if the
request satisfies the conditions John set forth in the permission.
persistent storage A data storage solution where the data remains intact until it is deleted. Options
within AWS (p. 211) include: Amazon S3 (p. 211), Amazon RDS (p. 210),
Amazon DynamoDB (p. 208), and other services.
physical name A unique label that AWS CloudFormation (p. 213) assigns to each
resource (p. 243) when creating a stack (p. 248). Some AWS CloudFormation
commands accept the physical name as a value with the --physical-name
parameter.
pipeline AWS CodePipeline (p. 214): A workflow construct that defines the way software
changes go through a release process.
plaintext Information that has not been encrypted (p. 226), as opposed to
ciphertext (p. 219).
policy IAM (p. 215): A document defining permissions that apply to a user, group, or
role; the permissions in turn determine what users can do in AWS. A policy typically
allow (p. 207)s access to specific actions, and can optionally grant that the
actions are allowed for specific resource (p. 243)s, like EC2 instance (p. 225)s,
Amazon S3 (p. 211) bucket (p. 218)s, and so on. Policies can also explicitly
deny (p. 224) access.
Auto Scaling (p. 213): An object that stores the information needed to launch
or terminate instances for an Auto Scaling group. Executing the policy causes
instances to be launched or terminated. You can configure an alarm (p. 207) to
invoke an Auto Scaling policy.
policy generator A tool in the IAM (p. 215) AWS Management Console (p. 215) that helps you
build a policy (p. 239) by selecting elements from lists of available options.
policy simulator A tool in the IAM (p. 215) AWS Management Console (p. 215) that helps you
test and troubleshoot policies (p. 239) so you can see their effects in real-world
scenarios.
policy validator A tool in the IAM (p. 215) AWS Management Console (p. 215) that examines
your existing IAM access control policies (p. 239) to ensure that they comply with
the IAM policy grammar.
presigned URL A web address that uses query string authentication (p. 241).
prefix See job prefix.
Version 1.0
239
Premium Support A one-on-one, fast-response support channel that AWS customers can subscribe to
for support for AWS infrastructure services.
See Also https://aws.amazon.com/premiumsupport/.
primary key One or two attributes that uniquely identify each item in a Amazon
DynamoDB (p. 208) table, so that no two items can have the same key.
See Also partition key, sort key.
primary shard See shard.
principal The user (p. 252), service, or account (p. 207) that receives permissions
that are defined in a policy (p. 239). The principal is A in the statement "A has
permission to do B to C."
private content When using Amazon CloudFront (p. 208) to serve content with an Amazon
S3 (p. 211) bucket (p. 218) as the origin, a method of controlling access to
your content by requiring users to use signed URLs. Signed URLs can restrict
user access based on the current date and time and/or the IP addresses that the
requests originate from.
private IP address A private numerical address (for example, 192.0.2.44) that networked devices
use to communicate with one another using the Internet Protocol (IP). All EC2
instance (p. 225)ss are assigned two IP addresses at launch, which are directly
mapped to each other through Network Address Translation (NAT (p. 236)): a
private address (following RFC 1918) and a public address. Exception: Instances
launched in Amazon VPC (p. 211) are assigned only a private IP address.
private subnet A VPC (p. 253) subnet (p. 249) whose instances cannot be reached from the
Internet.
product code An identifier provided by AWS when you submit a product to AWS
Marketplace (p. 215).
properties See resource property.
property rule A JSON (p. 232)-compliant markup standard for declaring properties, mappings,
and output values in an AWS CloudFormation (p. 213) template.
Provisioned IOPS A storage option designed to deliver fast, predictable, and consistent I/O
performance. When you specify an IOPS rate while creating a DB instance,
Amazon RDS (p. 210) provisions that IOPS rate for the lifetime of the DB
instance.
pseudo parameter A predefined setting, such as AWS:StackName that can be used in AWS
CloudFormation (p. 213) templates without having to declare them. You can use
pseudo parameters anywhere you can use a regular parameter.
public AMI An Amazon Machine Image (AMI) (p. 210) that all AWS account (p. 207)s have
permission to launch.
public data set A large collection of public information that can be seamlessly integrated into AWS
cloud-based applications. Amazon stores public data sets at no charge to the
community and, like all AWS services, users pay only for the compute and storage
they use for their own applications. These data sets currently include data from the
Human Genome Project, the U.S. Census, Wikipedia, and other sources.
See Also https://aws.amazon.com/publicdatasets.
public IP address A pubic numerical address (for example, 192.0.2.44) that networked devices
use to communicate with one another using the Internet Protocol (IP). EC2
Version 1.0
240
instance (p. 225)s are assigned two IP addresses at launch, which are directly
mapped to each other through Network Address Translation (NAT (p. 236)): a
private address (following RFC 1918) and a public address. Exception: Instances
launched in Amazon VPC (p. 211) are assigned only a private IP address.
public subnet A subnet (p. 249) whose instances can be reached from the Internet.
PV virtualization Paravirtual virtualization. Allows guest VMs to run on host systems that do not have
special support extensions for full hardware and CPU virtualization. Because PV
guests run a modified operating system that does not use hardware emulation, they
cannot provide hardware-related features such as enhanced networking or GPU
support.
See Also HVM virtualization.
Q
W (p. 254) | X, Y, Z (p. 254)
quartile binning transformation Amazon Machine Learning: A process that takes two inputs, a numerical variable
and a parameter called a bin number, and outputs a categorical variable. Quartile
binning transformations discover non-linearity in a variable's distribution by enabling
the machine learning model to learn separate importance values for parts of the
numeric variable’s distribution.
Query A type of web service that generally uses only the GET or POST HTTP method and
a query string with parameters in the URL.
See Also REST.
query string authentication An AWS feature that lets you place the authentication information in the HTTP
request query string instead of in the Authorization header, which enables URL-
based access to objects in a bucket (p. 218).
queue A sequence of messages or jobs that are held in temporary storage awaiting
transmission or processing.
queue URL A web address that uniquely identifies a queue.
quota Amazon RDS (p. 210): The maximum number of DB instance (p. 223)s and
available storage you can use.
Amazon ElastiCache (p. 209): The maximum number of the following items:
• The number of cache clusters for each AWS account (p. 207)
• The number of cache nodes per cache cluster
• The total number of cache nodes per AWS account across all cache clusters
created by that AWS account
R
W (p. 254) | X, Y, Z (p. 254)
Version 1.0
241
range GET A request that specifies a byte range of data to get for a download. If an object is
large, you can break up a download into smaller units by sending multiple range
GET requests that each specify a different byte range to GET.
raw email A type of sendmail request with which you can specify the email headers and MIME
types.
RDS See Amazon Relational Database Service (Amazon RDS).
read replica Amazon RDS (p. 210): An active copy of another DB instance. Any updates to the
data on the source DB instance are replicated to the read replica DB instance using
the built-in replication feature of MySQL 5.1.
real-time predictions Amazon Machine Learning: Synchronously generated predictions for individual data
observations.
See Also batch prediction.
receipt handle Amazon SQS (p. 211): An identifier that you get when you receive a message
from the queue. This identifier is required to delete a message from the queue or
when changing a message's visibility timeout.
receiver The entity that consists of the network systems, software, and policies that manage
email delivery for a recipient (p. 242).
recipient Amazon Simple Email Service (Amazon SES) (p. 211): The person or entity
receiving an email message. For example, a person named in the "To" field of a
message.
Redis A fast, open source, in-memory key-value data structure store. Redis comes with a
set of versatile in-memory data structures with which you can easily create a variety
of custom applications.
reference A means of inserting a property from one AWS resource (p. 243) into another.
For example, you could insert an Amazon EC2 (p. 209) security group (p. 246)
property into an Amazon RDS (p. 210) resource.
region A named set of AWS resource (p. 243)s in the same geographical area. A region
comprises at least two Availability Zone (p. 213)s.
regression model Amazon Machine Learning: Preformatted instructions for common data
transformations that fine-tune machine learning model performance.
regression model A type of machine learning model that predicts a numeric value, such as the exact
purchase price of a house.
regularization A machine learning (ML) parameter that you can tune to obtain higher-quality
ML models. Regularization helps prevent ML models from memorizing training
data examples instead of learning how to generalize the patterns it sees (called
overfitting). When training data is overfitted, the ML model performs well on the
training data but does not perform well on the evaluation data or on new data.
replacement environment The instances in a deployment group after the AWS CodeDeploy blue/green
deployment.
replica shard See shard.
reply path The email address to which an email reply is sent. This is different from the return
path (p. 244).
representational state transfer See REST.
Version 1.0
242
reputation 1. An Amazon SES (p. 211) metric, based on factors that might include
bounce (p. 218)s, complaint (p. 220)s, and other metrics, regarding whether or
not a customer is sending high-quality email.
2. A measure of confidence, as judged by an Internet service provider (p. 231) or

other entity that an IP address that they are receiving email from is not the source of
spam (p. 248).
requester The person (or application) that sends a request to AWS to perform a specific
action. When AWS receives a request, it first evaluates the requester's permissions
to determine whether the requester is allowed to perform the request action (if
applicable, for the requested resource (p. 243)).
Requester Pays An Amazon S3 (p. 211) feature that allows a bucket owner (p. 218) to specify
that anyone who requests access to objects in a particular bucket (p. 218) must
pay the data transfer and request costs.
reservation A collection of EC2 instance (p. 225)s started as part of the same launch request.
Not to be confused with a Reserved Instance (p. 243).
Reserved Instance A pricing option for EC2 instance (p. 225)s that discounts the on-
demand (p. 237) usage charge for instances that meet the specified parameters.
Customers pay for the entire term of the instance, regardless of how they use it.
Reserved Instance An online exchange that matches sellers who have reserved capacity that they no
Marketplace longer need with buyers who are looking to purchase additional capacity. Reserved
Instance (p. 243)s that you purchase from third-party sellers have less than a full
standard term remaining and can be sold at different upfront prices. The usage or
reoccurring fees remain the same as the fees set when the Reserved Instances
were originally purchased. Full standard terms for Reserved Instances available
from AWS run for one year or three years.
resource An entity that users can work with in AWS, such as an EC2 instance (p. 225), an
Amazon DynamoDB (p. 208) table, an Amazon S3 (p. 211) bucket (p. 218), an
IAM (p. 215) user, an AWS OpsWorks (p. 215) stack (p. 248), and so on.
resource property A value required when including an AWS resource (p. 243) in an AWS
CloudFormation (p. 213) stack (p. 248). Each resource may have one or more
properties associated with it. For example, an AWS::EC2::Instance resource may
have a UserData property. In an AWS CloudFormation template, resources must
declare a properties section, even if the resource has no properties.
resource record Also called resource record set. The fundamental information elements in the
Domain Name System (DNS).
See Also Domain Name System in Wikipedia.
REST Representational state transfer. A simple stateless architecture that generally

runs over HTTPS/TLS. REST emphasizes that resources have unique and
hierarchical identifiers (URIs), are represented by common media types (HTML,
XML, JSON (p. 232), and so on), and that operations on the resources are either
predefined or discoverable within the media type. In practice, this generally results
in a limited number of operations.
See Also Query, WSDL, SOAP.
RESTful web service Also known as RESTful API. A web service that follows REST (p. 243)
architectural constraints. The API operations must use HTTP methods explicitly;
expose hierarchical URIs; and transfer either XML, JSON (p. 232), or both.
HTTP-Query See Query.
Version 1.0
243
return enabled Amazon CloudSearch (p. 208): An index field option that enables the field's
values to be returned in the search results.
return path The email address to which bounced email is returned. The return path is specified
in the header of the original email. This is different from the reply path (p. 242).
revision AWS CodePipeline (p. 214): A change made to a source that is configured in a
source action, such as a pushed commit to a GitHub (p. 229) repository or an
update to a file in a versioned Amazon S3 (p. 211) bucket (p. 218).
role A tool for giving temporary access to AWS resource (p. 243)s in your AWS
account (p. 207).
rollback A return to a previous state that follows the failure to create an object, such as AWS
CloudFormation (p. 213) stack (p. 248). All resource (p. 243)s associated
with the failure are deleted during the rollback. For AWS CloudFormation, you can
override this behavior using the --disable-rollback option on the command line.
root AWS Organizations (p. 216): A parent container for the accounts in your
organization. If you apply a service control policy (p. 246) to the root, it applies to
every organizational unit (p. 237) and account in the organization.
root credentials Authentication information associated with the AWS account (p. 207) owner.
root device volume A volume (p. 253) that contains the image used to boot the instance (p. 231).
If you launched the instance from an AMI (p. 210) backed by instance
store (p. 231), this is an instance store volume (p. 253) created from a template
stored in Amazon S3 (p. 211). If you launched the instance from an AMI backed
by Amazon EBS (p. 208), this is an Amazon EBS volume created from an
Amazon EBS snapshot.
route table A set of routing rules that controls the traffic leaving any subnet (p. 249) that is
associated with the route table. You can associate multiple subnets with a single
route table, but a subnet can be associated with only one route table at a time.
row identifier row ID.Amazon Machine Learning: An attribute in the input data that you can
include in the evaluation or prediction output to make it easier to associate a
prediction with an observation.
rule AWS WAF (p. 217): A set of conditions that AWS WAF searches for in web
requests to AWS resource (p. 243)s such as Amazon CloudFront (p. 208)
distributions. You add rules to a web ACL (p. 254), and then specify whether you
want to allow or block web requests based on each rule.
S
W (p. 254) | X, Y, Z (p. 254)
S3 See Amazon Simple Storage Service (Amazon S3).
sampling period A defined duration of time, such as one minute, over which Amazon
CloudWatch (p. 208) computes a statistic (p. 248).
sandbox A testing location where you can test the functionality of your application without
affecting production, incurring charges, or purchasing products.
Version 1.0
244
Amazon SES (p. 211): An environment that is designed for developers to test
and evaluate the service. In the sandbox, you have full access to the Amazon SES
API, but you can only send messages to verified email addresses and the mailbox
simulator. To get out of the sandbox, you need to apply for production access.
Accounts in the sandbox also have lower sending limits (p. 246) than production
accounts.
scale in To remove EC2 instances from an Auto Scaling group (p. 213).
scale out To add EC2 instances to an Auto Scaling group (p. 213).
scaling policy A description of how Auto Scaling should automatically scale an Auto Scaling
group (p. 213) in response to changing demand.
See Also scale in, scale out.
scaling activity A process that changes the size, configuration, or makeup of an Auto Scaling
group (p. 213) by launching or terminating instances.
scheduler The method used for placing task (p. 251)s on container instance (p. 221)s.
schema Amazon Machine Learning: The information needed to interpret the input data for a
machine learning model, including attribute names and their assigned data types,
and the names of special attributes.
score cut-off value Amazon Machine Learning: A binary classification models output a score that
ranges from 0 to 1. To decide whether an observation should be classified as 1 or 0,
you pick a classification threshold, or cut-off, and Amazon ML compares the score
against it. Observations with scores higher than the cut-off are predicted as target
equals 1, and scores lower than the cut-off are predicted as target equals 0.
SCP See service control policy.
search API Amazon CloudSearch (p. 208): The API that you use to submit search requests to
a search domain (p. 245).
search domain Amazon CloudSearch (p. 208): Encapsulates your searchable data and the
search instances that handle your search requests. You typically set up a separate
Amazon CloudSearch domain for each different collection of data that you want to
search.
search domain configuration Amazon CloudSearch (p. 208): An domain's indexing options, analysis
scheme (p. 212)s, expression (p. 227)s, suggester (p. 250)s, access policies,
and scaling and availability options.
search enabled Amazon CloudSearch (p. 208): An index field option that enables the field data to
be searched.
search endpoint Amazon CloudSearch (p. 208): The URL that you connect to when sending
search requests to a search domain. Each Amazon CloudSearch domain has a
unique search endpoint that remains the same for the life of the domain.
search index Amazon CloudSearch (p. 208): A representation of your searchable data that
facilitates fast and accurate data retrieval.
search instance Amazon CloudSearch (p. 208): A compute resource (p. 243) that indexes your
data and processes search requests. An Amazon CloudSearch domain has one
or more search instances, each with a finite amount of RAM and CPU resources.
As your data volume grows, more search instances or larger search instances are
deployed to contain your indexed data. When necessary, your index is automatically
Version 1.0
245
partitioned across multiple search instances. As your request volume or complexity

increases, each search partition is automatically replicated to provide additional
processing capacity.
search request Amazon CloudSearch (p. 208): A request that is sent to an Amazon CloudSearch
domain's search endpoint to retrieve documents from the index that match
particular search criteria.
search result Amazon CloudSearch (p. 208): A document that matches a search request. Also
referred to as a search hit.
secret access key A key that is used in conjunction with the access key ID (p. 206) to
cryptographically sign programmatic AWS requests. Signing a request identifies
the sender and prevents the request from being altered. You can generate secret
access keys for your AWS account (p. 207), individual IAM user (p. 252)s, and
temporary sessions.
security group A named set of allowed inbound network connections for an instance. (Security
groups in Amazon VPC (p. 211) also include support for outbound connections.)
Each security group consists of a list of protocols, ports, and IP address ranges. A
security group can apply to multiple instances, and multiple groups can regulate a
single instance.
sender The person or entity sending an email message.
Sender ID A Microsoft-controlled version of SPF (p. 248). An email authentication and

anti-spoofing system. For more information about Sender ID, see Sender ID in
Wikipedia.
sending limits The sending quota (p. 246) and maximum send rate (p. 235) that are associated
with every Amazon SES (p. 211) account.
sending quota The maximum number of email messages that you can send using Amazon
SES (p. 211) in a 24-hour period.
server-side encryption (SSE) The encrypting (p. 226) of data at the server level. Amazon S3 (p. 211) supports
three modes of server-side encryption: SSE-S3, in which Amazon S3 manages the
keys; SSE-C, in which the customer manages the keys; and SSE-KMS, in which
AWS Key Management Service (AWS KMS) (p. 215) manages keys.
service See Amazon ECS service.
service control policy AWS Organizations (p. 216): A policy-based control that specifies the services
and actions that users and roles can use in the accounts that the service control
policy (SCP) affects.
service endpoint See endpoint.
service health dashboard A web page showing up-to-the-minute information about AWS service availability.
The dashboard is located at http://status.aws.amazon.com/.
service role An IAM (p. 215) role (p. 244) that grants permissions to an AWS service so it
can access AWS resource (p. 243)s. The policies that you attach to the service
role determine which AWS resources the service can access and what it can do
with those resources.
SES See Amazon Simple Email Service (Amazon SES).
session The period during which the temporary security credentials provided by AWS
Security Token Service (AWS STS) (p. 216) allow access to your AWS account.
Version 1.0
246
SHA Secure Hash Algorithm. SHA1 is an earlier version of the algorithm, which AWS has
deprecated in favor of SHA256.
shard Amazon Elasticsearch Service (Amazon ES) (p. 209): A partition of data in an
index. You can split an index into multiple shards, which can include primary shards
(original shards) and replica shards (copies of the primary shards). Replica shards
provide failover, which means that a replica shard is promoted to a primary shard if
a cluster node that contains a primary shard fails. Replica shards also can handle
requests.
shared AMI An Amazon Machine Image (AMI) (p. 210) that a developer builds and makes
available for others to use.
shutdown action Amazon EMR (p. 209): A predefined bootstrap action that launches a script that
executes a series of commands in parallel before terminating the job flow.
signature Refers to a digital signature, which is a mathematical way to confirm the authenticity
of a digital message. AWS uses signatures to authenticate the requests you send to
our web services. For more information, to https://aws.amazon.com/security.
SIGNATURE file AWS Import/Export (p. 215): A file you copy to the root directory of your storage
device. The file contains a job ID, manifest file, and a signature.
Signature Version 4 Protocol for authenticating inbound API requests to AWS services in all AWS
regions.
Simple Mail Transfer Protocol See SMTP.
Simple Object Access Protocol See SOAP.
Simple Storage Service See Amazon Simple Storage Service (Amazon S3).
Single-AZ DB instance A standard (non-Multi-AZ) DB instance (p. 223) that is deployed in one Availability
Zone (p. 213), without a standby replica in another Availability Zone.
See Also Multi-AZ deployment.
sloppy phrase search A search for a phrase that specifies how close the terms must be to one another to
be considered a match.
SMTP Simple Mail Transfer Protocol. The standard that is used to exchange email
messages between Internet hosts for the purpose of routing and delivery.
snapshot Amazon Elastic Block Store (Amazon EBS) (p. 208): A backup of your
volume (p. 253)s that is stored in Amazon S3 (p. 211). You can use these
snapshots as the starting point for new Amazon EBS volumes or to protect your
data for long-term durability.
See Also DB snapshot.
SNS See Amazon Simple Notification Service (Amazon SNS).
Snowball An AWS Import/Export (p. 215) feature that uses Amazon-owned Snowball
appliances for transferring your data.
See Also https://aws.amazon.com/importexport.
SOAP Simple Object Access Protocol. An XML-based protocol that lets you exchange
information over a particular protocol (HTTP or SMTP, for example) between
applications.
See Also REST, WSDL.
soft bounce A temporary email delivery failure such as one resulting from a full mailbox.
Version 1.0
247
software VPN A software appliance-based VPN connection over the Internet.
sort enabled Amazon CloudSearch (p. 208): An index field option that enables a field to be
used to sort the search results.
sort key An attribute used to sort the order of partition keys in a composite primary key (also
known as a range attribute).
See Also partition key, primary key.
source/destination checking A security measure to verify that an EC2 instance (p. 225) is the origin of all traffic
that it sends and the ultimate destination of all traffic that it receives; that is, that the
instance is not relaying traffic. Source/destination checking is enabled by default.
For instances that function as gateways, such as VPC (p. 253) NAT (p. 236)
instances, source/destination checking must be disabled.
spam Unsolicited bulk email.
spamtrap An email address that is set up by an anti-spam (p. 248) entity, not for
correspondence, but to monitor unsolicited email. This is also called a honeypot.
SPF Sender Policy Framework. A standard for authenticating email.

See Also http://www.openspf.org.
Spot Instance A type of EC2 instance (p. 225) that you can bid on to take advantage of unused
Amazon EC2 (p. 209) capacity.
Spot price The price for a Spot Instance (p. 248) at any given time. If your maximum price
exceeds the current price and your restrictions are met, Amazon EC2 (p. 209)
launches instances on your behalf.
SQL injection match condition AWS WAF (p. 217): An attribute that specifies the part of web requests, such
as a header or a query string, that AWS WAF inspects for malicious SQL code.
Based on the specified conditions, you can configure AWS WAF to allow or block
web requests to AWS resource (p. 243)s such as Amazon CloudFront (p. 208)
distributions.
SQS See Amazon Simple Queue Service (Amazon SQS).
SSE See server-side encryption (SSE).
SSL Secure Sockets Layer

See Also Transport Layer Security.
stack AWS CloudFormation (p. 213): A collection of AWS resource (p. 243)s that you
create and delete as a single unit.
AWS OpsWorks (p. 215): A set of instances that you manage collectively, typically
because they have a common purpose such as serving PHP applications. A stack
serves as a container and handles tasks that apply to the group of instances as a
whole, such as managing applications and cookbooks.
station AWS CodePipeline (p. 214): A portion of a pipeline workflow where one or more
actions are performed.
station A place at an AWS facility where your AWS Import/Export data is transferred on to,
or off of, your storage device.
statistic One of five functions of the values submitted for a given sampling period (p. 244).
These functions are Maximum, Minimum, Sum, Average, and SampleCount.
stem The common root or substring shared by a set of related words.
Version 1.0
248
stemming The process of mapping related words to a common stem. This enables matching
on variants of a word. For example, a search for "horse" could return matches for
horses, horseback, and horsing, as well as horse. Amazon CloudSearch (p. 208)
supports both dictionary based and algorithmic stemming.
step Amazon EMR (p. 209): A single function applied to the data in a job
flow (p. 232). The sum of all steps comprises a job flow.
step type Amazon EMR (p. 209): The type of work done in a step. There are a limited
number of step types, such as moving data from Amazon S3 (p. 211) to Amazon
EC2 (p. 209) or from Amazon EC2 to Amazon S3.
sticky session A feature of the Elastic Load Balancing (p. 225) load balancer that binds a user's
session to a specific application instance so that all requests coming from the user
during the session are sent to the same application instance. By contrast, a load
balancer defaults to route each request independently to the application instance
with the smallest load.
stopping The process of filtering stop words from an index or search request.
stopword A word that is not indexed and is automatically filtered out of search requests
because it is either insignificant or so common that including it would result in too
many matches to be useful. Stop words are language-specific.
streaming Amazon EMR (Amazon EMR) (p. 209): A utility that comes with Hadoop (p. 229)
that enables you to develop MapReduce executables in languages other than Java.
Amazon CloudFront (p. 208): The ability to use a media file in real time—as it is
transmitted in a steady stream from a server.
streaming distribution A special kind of distribution (p. 224) that serves streamed media files using a
Real Time Messaging Protocol (RTMP) connection.
Streams See Amazon Kinesis Streams.
string-to-sign Before you calculate an HMAC (p. 229) signature, you first assemble the required
components in a canonical order. The preencrypted string is the string-to-sign.
string match condition AWS WAF (p. 217): An attribute that specifies the strings that AWS WAF
searches for in a web request, such as a value in a header or a query string.
Based on the specified strings, you can configure AWS WAF to allow or block web
requests to AWS resource (p. 243)s such as CloudFront (p. 208) distributions.
strongly consistent read A read process that returns a response with the most up-to-date data, reflecting
the updates from all prior write operations that were successful—regardless of the
region.
See Also data consistency, eventual consistency, eventually consistent read.
structured query Search criteria specified using the Amazon CloudSearch (p. 208) structured
query language. You use the structured query language to construct compound
queries that use advanced search options and combine multiple search criteria
using Boolean operators.
STS See AWS Security Token Service (AWS STS).
subnet A segment of the IP address range of a VPC (p. 253) that EC2
instance (p. 225)s can be attached to. You can create subnets to group instances
according to security and operational needs.
Subscription button An HTML-coded button that enables an easy way to charge customers a recurring
fee.
Version 1.0
249
suggester Amazon CloudSearch (p. 208): Specifies an index field you want to use to get
autocomplete suggestions and options that can enable fuzzy matches and control
how suggestions are sorted.
suggestions Documents that contain a match for the partial search string in the field designated
by the suggester (p. 250). Amazon CloudSearch (p. 208) suggestions include
the document IDs and field values for each matching document. To be a match, the
string must match the contents of the field starting from the beginning of the field.
supported AMI An Amazon Machine Image (AMI) (p. 210) similar to a paid AMI (p. 238), except
that the owner charges for additional software or a service that customers use with
their own AMIs.
SWF See Amazon Simple Workflow Service (Amazon SWF).
symmetric encryption Encryption (p. 226) that uses a private key only.
See Also asymmetric encryption.
synchronous bounce A type of bounce (p. 218) that occurs while the email servers of the
sender (p. 246) and receiver (p. 242) are actively communicating.
synonym A word that is the same or nearly the same as an indexed word and that should
produce the same results when specified in a search request. For example, a
search for "Rocky Four" or "Rocky 4" should return the fourth Rocky movie. This
can be done by designating that four and 4 are synonyms for IV. Synonyms are
language-specific.
T
W (p. 254) | X, Y, Z (p. 254)
table A collection of data. Similar to other database systems, DynamoDB stores data in
tables.
tag Metadata that you can define and assign to AWS resource (p. 243)s, such as an
EC2 instance (p. 225). Not all AWS resources can be tagged.
tagging Tagging resources: Applying a tag (p. 250) to an AWS resource (p. 243).
Amazon SES (p. 211): Also called labeling. A way to format return path (p. 244)
email addresses so that you can specify a different return path for each
recipient of a message. Tagging enables you to support VERP (p. 253). For
example, if Andrew manages a mailing list, he can use the return paths andrew
+recipient1@example.net and andrew+recipient2@example.net so that he can
determine which email bounced.
target attribute Amazon Machine Learning (Amazon ML ): The attribute in the input data that
contains the “correct” answers. Amazon ML uses the target attribute to learn how
to make predictions on new data. For example, if you were building a model for
predicting the sale price of a house, the target attribute would be “target sale price
in USD.”
target revision AWS CodeDeploy (p. 214): The most recent version of the application revision
that has been uploaded to the repository and will be deployed to the instances in
a deployment group. In other words, the application revision currently targeted for
deployment. This is also the revision that will be pulled for automatic deployments.
Version 1.0
250
task An instantiation of a task definition (p. 251) that is running on a container

instance (p. 221).
task definition The blueprint for your task. Specifies the name of the task (p. 251), revisions,
container definition (p. 221)s, and volume (p. 253) information.
task node An EC2 instance (p. 225) that runs Hadoop (p. 229) map and reduce tasks,
but does not store data. Task nodes are managed by the master node (p. 234),
which assigns Hadoop tasks to nodes and monitors their status. While a job flow is
running you can increase and decrease the number of task nodes. Because they
don't store data and can be added and removed from a job flow, you can use task
nodes to manage the EC2 instance capacity your job flow uses, increasing capacity
to handle peak loads and decreasing it later.
Task nodes only run a TaskTracker Hadoop daemon.
tebibyte A contraction of tera binary byte, a tebibyte is 2^40 or 1,099,511,627,776

bytes. A terabyte (TB) is 10^12 or 1,000,000,000,000 bytes. 1,024 TiB is a
pebibyte (p. 239).
template format version The version of an AWS CloudFormation (p. 213) template design that determines
the available features. If you omit the AWSTemplateFormatVersion section from your
template, AWS CloudFormation assumes the most recent format version.
template validation The process of confirming the use of JSON (p. 232) code in an AWS
CloudFormation (p. 213) template. You can validate any AWS CloudFormation
template using the cfn-validate-template command.
temporary security credentials Authentication information that is provided by AWS STS (p. 216) when you
call an STS API action. Includes an access key ID (p. 206), a secret access
key (p. 246), a session (p. 246) token, and an expiration time.
throttling The automatic restricting or slowing down of a process based on one or more limits.
Examples: Amazon Kinesis Streams (p. 210) throttles operations if an application
(or group of applications operating on the same stream) attempts to get data
from a shard at a rate faster than the shard limit. Amazon API Gateway (p. 207)
uses throttling to limit the steady-state request rates for a single account. Amazon
SES (p. 211) uses throttling to reject attempts to send email that exceeds the
sending limits (p. 246).
time series data Data provided as part of a metric. The time value is assumed to be when the value
occurred. A metric is the fundamental concept for Amazon CloudWatch (p. 208)
and represents a time-ordered set of data points. You publish metric data points into
CloudWatch and later retrieve statistics about those data points as a time-series
ordered data set.
time stamp A date/time string in ISO 8601 format.
TLS See Transport Layer Security.
tokenization The process of splitting a stream of text into separate tokens on detectable
boundaries such as whitespace and hyphens.
topic A communication channel to send messages and subscribe to notifications. It

provides an access point for publishers and subscribers to communicate with each
other.
training datasource A datasource that contains the data that Amazon Machine Learning uses to train
the machine learning model to make predictions.
Version 1.0
251
transition AWS CodePipeline (p. 214): The act of a revision in a pipeline continuing from
one stage to the next in a workflow.
Transport Layer Security A cryptographic protocol that provides security for communication over the Internet.
Its predecessor is Secure Sockets Layer (SSL).
trust policy An IAM (p. 215) policy (p. 239) that is an inherent part of an IAM role (p. 244).
The trust policy specifies which principal (p. 240)s are allowed to use the role.
trusted signers AWS account (p. 207)s that the CloudFront (p. 208) distribution owner has given
permission to create signed URLs for a distribution's content.
tuning Selecting the number and type of AMIs (p. 210) to run a Hadoop (p. 229) job
flow most efficiently.
tunnel A route for transmission of private network traffic that uses the Internet to connect
nodes in the private network. The tunnel uses encryption and secure protocols such
as PPTP to prevent the traffic from being intercepted as it passes through public
routing nodes.
U
W (p. 254) | X, Y, Z (p. 254)
unbounded The number of potential occurrences is not limited by a set number. This
value is often used when defining a data type that is a list (for example,
maxOccurs="unbounded"), in WSDL (p. 254).
unit Standard measurement for the values submitted to Amazon CloudWatch (p. 208)
as metric data. Units include seconds, percent, bytes, bits, count, bytes/second,
bits/second, count/second, and none.
unlink from VPC The process of unlinking (or detaching) an EC2-Classic instance (p. 231) from a
ClassicLink-enabled VPC (p. 253).
See Also ClassicLink, link to VPC.
usage report An AWS record that details your usage of a particular AWS service. You can
generate and download usage reports from https://aws.amazon.com/usage-reports/.
user A person or application under an account (p. 207) that needs to make API calls
to AWS products. Each user has a unique name within the AWS account, and a set
of security credentials not shared with other users. These credentials are separate
from the AWS account's security credentials. Each user is associated with one and
only one AWS account.
V
W (p. 254) | X, Y, Z (p. 254)
validation See template validation.
Version 1.0
252
value Instances of attributes (p. 213) for an item, such as cells in a spreadsheet. An
attribute might have multiple values.
Tagging resources: A specific tag (p. 250) label that acts as a descriptor within a
tag category (key). For example, you might have EC2 instance (p. 225) with the
tag key of Owner and the tag value of Jan. You can tag an AWS resource (p. 243)
with up to 10 key–value pairs. Not all AWS resources can be tagged.
Variable Envelope Return See VERP.

Path
verification The process of confirming that you own an email address or a domain so that you
can send email from or to it.
VERP Variable Envelope Return Path. A way in which email sending applications can
match bounce (p. 218)d email with the undeliverable address that caused
the bounce by using a different return path (p. 244) for each recipient. VERP
is typically used for mailing lists. With VERP, the recipient's email address is
embedded in the address of the return path, which is where bounced email is
returned. This makes it possible to automate the processing of bounced email
without having to open the bounce messages, which may vary in content.
versioning Every object in Amazon S3 (p. 211) has a key and a version ID. Objects with the
same key, but different version IDs can be stored in the same bucket (p. 218).
Versioning is enabled at the bucket layer using PUT Bucket versioning.
VGW See virtual private gateway.
virtualization Allows multiple guest virtual machines (VM) to run on a host operating system.
Guest VMs can run on one or more levels above the host hardware, depending on
the type of virtualization.
See Also PV virtualization, HVM virtualization.
virtual private cloud See VPC.
virtual private gateway (VGW) The Amazon side of a VPN connection (p. 254) that maintains
connectivity. The internal interfaces of the virtual private gateway connect to your
VPC (p. 253) via the VPN attachment and the external interfaces connect to the
VPN connection, which leads to the customer gateway (p. 222).
visibility timeout The period of time that a message is invisible to the rest of your application after
an application component gets it from the queue. During the visibility timeout, the
component that received the message usually processes it, and then deletes it from
the queue. This prevents multiple components from processing the same message.
volume A fixed amount of storage on an instance (p. 231). You can share volume
data between container (p. 221)s and persist the data on the container
instance (p. 221) when the containers are no longer running.
VPC Virtual private cloud. An elastic network populated by infrastructure, platform, and
application services that share common security and interconnection.
VPC endpoint A feature that enables you to create a private connection between your
VPC (p. 253) and an another AWS service without requiring access over the
Internet, through a NAT (p. 236) instance, a VPN connection (p. 254), or AWS
Direct Connect (p. 214).
VPG See virtual private gateway.
VPN CloudHub See AWS VPN CloudHub.
Version 1.0
253
VPN connection Amazon Web Services (AWS) (p. 211): The IPsec connection between a
VPC (p. 253) and some other network, such as a corporate data center, home
network, or co-location facility.
W
W (p. 254) | X, Y, Z (p. 254)
WAM See Amazon WorkSpaces Application Manager (Amazon WAM).
web access control list AWS WAF (p. 217): A set of rules that defines the conditions that AWS WAF
searches for in web requests to AWS resource (p. 243)s such as Amazon
CloudFront (p. 208) distributions. A web access control list (web ACL) specifies
whether to allow, block, or count the requests.
Web Services Description See WSDL.

Language
WSDL Web Services Description Language. A language used to describe the actions that
a web service can perform, along with the syntax of action requests and responses.
See Also REST, SOAP.
X, Y, Z
X.509 certificate An digital document that uses the X.509 public key infrastructure (PKI) standard to
verify that a public key belongs to the entity described in the certificate (p. 219).
yobibyte A contraction of yotta binary byte, a yobibyte is 2^80 or

1,208,925,819,614,629,174,706,176 bytes. A yottabyte (YB) is 10^24 or
1,000,000,000,000,000,000,000,000 bytes.
zebibyte A contraction of zetta binary byte, a zebibyte is 2^70 or

1,180,591,620,717,411,303,424 bytes. A zettabyte (ZB) is 10^21 or
1,000,000,000,000,000,000,000 bytes. 1,024 ZiB is a yobibyte (p. 254).
zone awareness Amazon Elasticsearch Service (Amazon ES) (p. 209): A configuration that
distributes nodes in a cluster across two Availability Zone (p. 213)s in the same
region. Zone awareness helps to prevent data loss and minimizes downtime in the
event of node and data center failure. If you enable zone awareness, you must have
an even number of data instances in the instance count, and you also must use
the Amazon Elasticsearch Service Configuration API to replicate your data for your
Elasticsearch cluster.
Version 1.0
254

Amazon Web Services - Referencia general

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Amazon Web Services - Referencia general

Cargado por

Copyright:

Formatos disponibles

Amazon Web Services: Referencia general

AWS Import/Export Disk .................................................................................................... 39

Amazon Kinesis Firehose (Firehose) .................................................................................... 95

Límites de AWS CodeCommit ................................................................................................... 155

Límites de Amazon Simple Storage Service (Amazon S3) ............................................................. 183

Referencia general de AWS

Esta es la Referencia general de documentación de AWS. Abarca los siguientes temas:

• Regiones y puntos de conexión de AWS (p. 2)

Regiones y puntos de conexión de

• AWS CloudFormation (p. 10)

• AWS Lambda (p. 44)

Amazon API Gateway

US East (N. us-east-1 apigateway.us-east-1.amazonaws.com HTTPS

US East us-east-2 apigateway.us-east-2.amazonaws.com HTTPS

EE.UU. us-west-1 apigateway.us-west-1.amazonaws.com HTTPS

Nombre de Región Punto de conexión Protocolo

EE.UU. us-west-2 apigateway.us-west-2.amazonaws.com HTTPS

Asia Pacific ap-south-1 apigateway.ap-south-1.amazonaws.com HTTPS

Asia Pacífico ap- apigateway.ap-northeast-2.amazonaws.com HTTPS

Asia Pacífico ap- apigateway.ap-southeast-1.amazonaws.com HTTPS

Asia Pacífico ap- apigateway.ap-southeast-2.amazonaws.com HTTPS

Asia Pacífico ap- apigateway.ap-northeast-1.amazonaws.com HTTPS

UE eu-central-1 apigateway.eu-central-1.amazonaws.com HTTPS

UE (Irlanda) eu-west-1 apigateway.eu-west-1.amazonaws.com HTTPS

EU (London) eu-west-2 apigateway.eu-west-2.amazonaws.com HTTPS

Application Auto Scaling

US East (N. us-east-1 autoscaling.us-east-1.amazonaws.com HTTP y

US East us-east-2 autoscaling.us-east-2.amazonaws.com HTTP y

EE.UU. us-west-1 autoscaling.us-west-1.amazonaws.com HTTP y

EE.UU. us-west-2 autoscaling.us-west-2.amazonaws.com HTTP y

Canada ca-central-1 autoscaling.ca-central-1.amazonaws.com HTTP y

Asia Pacific ap-south-1 autoscaling.ap-south-1.amazonaws.com HTTP y

Nombre de Región Punto de conexión Protocolo

Asia Pacífico ap- autoscaling.ap-northeast-2.amazonaws.com HTTP y

Asia Pacífico ap- autoscaling.ap-southeast-1.amazonaws.com HTTP y

Asia Pacífico ap- autoscaling.ap-southeast-2.amazonaws.com HTTP y

Asia Pacífico ap- autoscaling.ap-northeast-1.amazonaws.com HTTP y

UE eu-central-1 autoscaling.eu-central-1.amazonaws.com HTTP y

UE (Irlanda) eu-west-1 autoscaling.eu-west-1.amazonaws.com HTTP y

EU (London) eu-west-2 autoscaling.eu-west-2.amazonaws.com HTTP y

América del sa-east-1 autoscaling.sa-east-1.amazonaws.com HTTP y

US East (N. us-east-1 appstream.us-east-1.amazonaws.com HTTPS

Asia Pacífico ap- appstream.ap-northeast-1.amazonaws.com HTTPS

Amazon AppStream 2.0

US East (N. us-east-1 appstream2.us-east-1.amazonaws.com HTTPS

EE.UU. us-west-2 appstream2.us-west-2.amazonaws.com HTTPS

UE (Irlanda) eu-west-1 appstream2.eu-west-1.amazonaws.com HTTPS

Asia Pacífico ap- appstream2.ap-northeast-1.amazonaws.com HTTPS

US us-east-1 athena.us- jdbc:awsathena://athena.us- HTTPS

US East us-east-2 athena.us- jdbc:awsathena://athena.us- HTTPS

EE.UU. us-west-2 athena.us- jdbc:awsathena://athena.us- HTTPS

US East us-east-2 autoscaling.us-east-2.amazonaws.com HTTP and

US East (N. us-east-1 autoscaling.us-east-1.amazonaws.com HTTP and

EE.UU. us-west-1 autoscaling.us-west-1.amazonaws.com HTTP and

EE.UU. us-west-2 autoscaling.us-west-2.amazonaws.com HTTP and

Canada ca-central-1 autoscaling.ca-central-1.amazonaws.com HTTP and

Asia Pacific ap-south-1 autoscaling.ap-south-1.amazonaws.com HTTP and

Asia Pacífico ap- autoscaling.ap-northeast-2.amazonaws.com HTTP and

Asia Pacífico ap- autoscaling.ap-southeast-1.amazonaws.com HTTP and

Asia Pacífico ap- autoscaling.ap-southeast-2.amazonaws.com HTTP and

Region Region Endpoint Protocol

Asia Pacífico ap- autoscaling.ap-northeast-1.amazonaws.com HTTP and

UE eu-central-1 autoscaling.eu-central-1.amazonaws.com HTTP and