

Aviso de fin de soporte: el 31 de marzo de 2027 AWS finalizará el soporte para Amazon WorkMail. Después del 31 de marzo de 2027, ya no podrás acceder a la WorkMail consola de Amazon ni a los WorkMail recursos de Amazon. Para obtener más información, consulta el [ WorkMail fin del soporte de Amazon](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administración de roles de suplantación
<a name="managing-impersonation-roles"></a>

Con los roles de suplantación, los administradores configuran el acceso programático a los buzones de correo de los usuarios sin introducir las credenciales del usuario. Los servicios y herramientas pueden asumir un rol de suplantación para realizar acciones en los buzones de correo de los usuarios. La suplantación solo es compatible con el protocolo EWS.

## Información general sobre roles de suplantación
<a name="how-impersonations-work"></a>

Para permitir la suplantación, los administradores deben crear un rol de suplantación con las siguientes propiedades: 
+ **Tipo de rol**: elija entre **Acceso total** o **Solo lectura**. El tipo de rol limita el tipo de operaciones que puede realizar un rol.
+ **Reglas**: una lista de reglas que definen a qué usuarios puede suplantar el rol de suplantación.

Amazon WorkMail evalúa las normas en función de las siguientes condiciones:
+ Si cualquier regla **DENY** coincide, la política deniega la suplantación. Las reglas **DENY** tienen prioridad sobre cualquier regla **ALLOW**.
+ Si al menos una regla **ALLOW** coincide y no coincide ninguna regla **DENY**, la política permite la suplantación.
+ Si no se aplica ninguna regla, la suplantación se deniega.

**nota**  
Para permitir la suplantación de identidad para todos los usuarios de una WorkMail organización de Amazon, crea una regla con el efecto **ALLOW** y sin condiciones.

**aviso**  
Debe crear reglas para permitir que un rol de suplantación suplante a un usuario. Si no especifica reglas, un rol de suplantación no puede asumir los derechos de acceso de un usuario.

Una vez creado el rol de suplantación, puede utilizarlo para obtener acceso a los buzones de correo de los usuarios. Para obtener más información, consulte [Uso de roles de suplantación](using-impersonation-roles.md).

## Consideraciones de seguridad
<a name="security-considerations"></a>

El uso de funciones de suplantación de identidad crea la posibilidad de que surjan problemas de seguridad en su WorkMail organización de Amazon y. Cuenta de AWS Estos son algunos de los posibles problemas a tener en cuenta al crear un rol de suplantación:
+ **Permisos transitivos**: si el usuario A tiene acceso al buzón de correo del usuario B y se permite que un rol de suplantación suplante al usuario A, entonces este rol de suplantación puede suplantar los permisos de acceso del usuario A y acceder al buzón del usuario B.
+ **Control de acceso**: puede utilizar reglas de control de acceso para limitar el acceso del rol de suplantación. Para obtener más información, consulte [Uso de reglas de control de acceso](access-rules.md).
+ **Política de IAM**: puedes asignar una `AssumeImpersonationRole` acción a una determinada WorkMail organización de Amazon y a una función de suplantación de identidad mediante la condición. `workmail:ImpersonationRoleId` Para ver un ejemplo de política de IAM, consulte [Cómo WorkMail funciona Amazon con IAM](security_iam_service-with-iam.md).

## Creación de roles de suplantación
<a name="creating-impersonation-roles"></a>

Puedes crear roles de suplantación desde la consola de Amazon WorkMail .

**Para crear un rol de suplantación**

1. Abre la WorkMail consola de Amazon en [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte [Regiones y puntos de enlace](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) en la *Referencia general de Amazon Web Services*.

1. En el panel de navegación, elija **Organizaciones** y, a continuación, el nombre de la organización.

1. Elija **Roles de suplantación** y, a continuación, **Crear rol**.

1. Aparece el cuadro de diálogo **Crear rol de suplantación**. En **Rol**, introduzca la siguiente información:
   + **Nombre**: introduzca un nombre único para el rol de suplantación.
   + (Opcional) **Descripción**: introduzca una descripción para el rol de suplantación.
   + **Tipo de rol**: elija **Solo lectura** o **Acceso total**.

1. En **Reglas**, elija **Añadir regla**.

1. Aparece el cuadro de diálogo **Añadir regla**. Introduzca la información siguiente:
   + **Nombre**: introduzca un nombre exclusivo para la regla.
   + (Opcional) **Descripción**: introduzca una descripción para la regla.
   + En **Efecto**, elija **Permitir** o **Denegar**. Esto permite o deniega el acceso en función de las condiciones que seleccione en el paso siguiente.
   + (Opcional) En **Esta regla:**, elija **Concuerda solicitudes que suplantan a los usuarios seleccionados** para incluir usuarios específicos. Elija **Concuerda solicitudes que suplantan a usuarios distintos de los usuarios seleccionados** para añadir usuarios distintos de los usuarios seleccionados.

1. Seleccione **Añadir regla**.
**nota**  
Las reglas solo se guardan cuando se guarda el rol correspondiente.

1. Elija **Crear rol**.

## Edición de roles de suplantación
<a name="editing-impersonation-roles"></a>

Puedes editar los roles de suplantación desde la consola de Amazon WorkMail .

**Para editar un rol de suplantación**

1. Abre la WorkMail consola de Amazon en [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte [Regiones y puntos de enlace](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) en la *Referencia general de Amazon Web Services*.

1. En el panel de navegación, elija **Organizaciones** y, a continuación, el nombre de la organización.

1. Elija **Roles de suplantación**.

1. Seleccione el nombre del rol de suplantación que desee editar y, a continuación, elija **Editar**.

1. Aparece el cuadro de diálogo **Editar rol de suplantación**. En **Rol**, introduzca la siguiente información:
   + **Nombre**: introduzca un nombre único para el rol de suplantación.
   + (Opcional) **Descripción**: introduzca una descripción para el rol de suplantación.
   + **Tipo de rol**: para dar al rol de suplantación acceso de solo lectura al buzón de correo de un usuario, elija **Solo lectura**. Para otorgar al rol de suplantación derechos de lectura y modificación de los elementos del buzón de correo de un usuario, elija **Acceso total**.

1. En **Reglas**, seleccione la regla que desee editar y luego **Editar**.

1. Aparece el cuadro de diálogo **Editar regla**. Introduzca la información siguiente:
   + **Nombre**: edite el nombre de la regla.
   + (Opcional) **Descripción**: actualice la descripción de la regla o introduzca una.
   + En **Efecto**, elija **Permitir** a fin de permitir el acceso cuando se cumplan las condiciones establecidas en las reglas. Para denegar el acceso, elija **Denegar**.
   + (Opcional) En **Esta regla:**, elija **Concuerda solicitudes que suplantan a los usuarios seleccionados** para incluir usuarios específicos. Elija **Concuerda solicitudes que suplantan a usuarios distintos de los usuarios seleccionados** para añadir usuarios distintos de los usuarios seleccionados.

1. Seleccione **Save**.

1. Elija **Guardar cambios**.

**importante**  
Al modificar una regla de suplantación, los buzones de correo afectados podrían tardar hasta cinco minutos en actualizarse. Durante el proceso de actualización de la regla, es posible que observe un comportamiento incoherente en su buzón de correo. Sin embargo, si pruebas un rol, Amazon WorkMail responde según lo esperado en función de la regla actualizada. Para obtener más información, consulte [Prueba de roles de suplantación](#testing-impersonation-roles).

## Prueba de roles de suplantación
<a name="testing-impersonation-roles"></a>

Puedes probar un rol de suplantación desde la consola de Amazon WorkMail .

**Para probar un rol de suplantación**

1. Abre la WorkMail consola de Amazon en [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte [Regiones y puntos de enlace](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) en la *Referencia general de Amazon Web Services*.

1. En el panel de navegación, elija **Organizaciones** y, a continuación, el nombre de la organización.

1. Elija **Roles de suplantación**.

1. Seleccione el rol de suplantación que desee probar.

1. Elija **Probar rol**.

   

1. Aparece el cuadro de diálogo **Probar rol de suplantación**. En **Usuario objetivo**, seleccione el usuario para el que desea probar el acceso de suplantación.

1. Seleccione **Probar**

## Eliminación de roles de suplantación
<a name="deleting-impersonation-roles"></a>

Puedes eliminar un rol de suplantación de identidad de la consola de Amazon WorkMail .

**Para eliminar un rol de suplantación**

1. Abre la WorkMail consola de Amazon en [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).

   De ser necesario, cambie la región. En la barra de navegación, elija la región que se ajuste a sus necesidades. Para obtener más información, consulte [Regiones y puntos de enlace](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) en la *Referencia general de Amazon Web Services*.

1. En el panel de navegación, elija **Organizaciones** y, a continuación, el nombre de la organización.

1. Elija **Roles de suplantación**.

1. Seleccione el nombre del rol de suplantación que desee eliminar.

1. Elija **Eliminar**.

1. Aparece el cuadro de diálogo **Eliminar rol**. Para confirmar la eliminación, introduzca el nombre del rol en el cuadro de diálogo y elija **Eliminar**.