Uso de roles vinculados a servicios para la flota de reservas de capacidad
La Flota de Reservas de capacidad en diferido utiliza roles vinculados a servicios de AWS Identity and Access Management(IAM)https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role. Un rol vinculado a servicio es un tipo único de rol de IAM que está vinculado directamente a una Flota de Reservas de capacidad. Los roles vinculados a servicios los predefine la Flota de Reservas de capacidad e incluyen todos los permisos que el servicio necesita para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a servicio simplifica la configuración de la Flota de Reservas de capacidad porque ya no tendrá que agregar manualmente los permisos necesarios. La Flota de Reservas de capacidad define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo la Flota de Reservas de capacidad puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de la Flota de Reservas de capacidad, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Permisos de roles vinculados a servicios para la flota de reservas de capacidad
La Flota de Reservas de capacidad usa el rol vinculado a servicio denominado AWSServiceRoleForEC2CapacityReservationFleet para crear, describir, modificar y cancelar las Reservas de capacidad previamente creadas por una Flota de Reservas de capacidad, en su nombre.
El rol vinculado a servicio AWSServiceRoleForEC2CapacityReservationFleet confía en que la siguiente entidad asuma el rol: capacity-reservation-fleet.amazonaws.com.
El rol utiliza la política AWSEC2CapacityReservationFleetRolePolicy, que incluye los siguientes permisos:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeCapacityReservations", "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateCapacityReservation", "ec2:CancelCapacityReservation", "ec2:ModifyCapacityReservation" ], "Resource": [ "arn:aws:ec2:*:*:capacity-reservation/*" ], "Condition": { "StringLike": { "ec2:CapacityReservationFleet": "arn:aws:ec2:*:*:capacity-reservation-fleet/crf-*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:capacity-reservation/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateCapacityReservation" } } } ] }
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a servicios para la flota de reservas de capacidad
No necesita crear manualmente un rol vinculado a servicios. Al crear una Flota de Reservas de capacidad con el comando create-capacity-reservation-fleet de la AWS CLI o el comando de API CreateCapacityReservationFleet, el rol vinculado a servicio se crea automáticamente.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una Flota de Reservas de capacidad, la Flota de Reservas de capacidad crea de nuevo el rol vinculado a servicio.
Edición de un rol vinculado a servicios para la flota de reservas de capacidad
La Flota de Reservas de capacidad no le permite editar el rol vinculado a servicio AWSServiceRoleForEC2CapacityReservationFleet. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a servicios para la flota de reservas de capacidad
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. No obstante, debe eliminar los recursos del rol vinculado a servicio antes de eliminarlo manualmente.
nota
Si el servicio de la Flota de Reservas de capacidad está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar el rol vinculado a servicio AWSServiceRoleForEC2CapacityReservationFleet
-
Utilice el comando
delete-capacity-reservation-fleetde la AWS CLI o el comando de APIDeleteCapacityReservationFleetpara eliminar las flotas de Reservas de capacidad de su cuenta. -
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicio AWSServiceRoleForEC2CapacityReservationFleet. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados a servicios de la flota de reservas de capacidad
La Flota de Reservas de capacidad admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte Puntos de conexión y regiones de AWS.
