Uso de roles vinculados a servicios para Evidently - Amazon CloudWatch
Permisos de roles vinculados a servicios de EvidentlyCreación de un rol vinculado a un servicio de EvidentlyModificación de un rol vinculado a un servicio de EvidentlyEliminación de un rol vinculado a un servicio de EvidentlyRegiones admitidas para los roles vinculados a servicios de Evidently

Uso de roles vinculados a servicios para Evidently

CloudWatch Evidently utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Evidently. Los roles vinculados a servicios están predefinidos por Evidently e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de Evidently porque ya no tendrá que agregar manualmente los permisos necesarios. Evidently define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Evidently puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Evidently, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-linked roles (Roles vinculados a servicios). Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de Evidently

Evidently usa el rol vinculado al servicio denominado AWSServiceRoleForCloudWatchEvidently: permite que CloudWatch Evidently administre recursos de AWS asociados en nombre del cliente.

El rol vinculado al servicio AWSServiceRoleForCloudWatchEvidently confía en los siguientes servicios para asumir el rol:

  • CloudWatch Evidently

La política de permisos del rol denominada AmazonCloudWatchEvidentlyServiceRolePolicy permite que Evidently lleve a cabo las siguientes acciones en los recursos especificados:

  • Acciones: appconfig:StartDeployment, appconfig:StopDeployment, appconfig:ListDeployments y appconfig:TagResource en clientes pesados de Evidently.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio de Evidently

No necesita crear manualmente un rol vinculado a servicios. Cuando empiece a usar un cliente pesado de Evidently en la AWS Management Console, AWS CLI o la API de AWS, Evidently crea el rol vinculado al servicio.

Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando empiece a usar un cliente pesado de Evidently, Evidently vuelve a crear el rol vinculado al servicio.

Modificación de un rol vinculado a un servicio de Evidently

Evidently no le permite modificar el rol vinculado al servicio AWSServiceRoleForCloudWatchEvidently. Después de crear un rol vinculado a servicios, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de Evidently

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente. Debe eliminar todos los proyectos de Evidently que utilicen clientes pesados.

nota

Si el servicio de Evidently está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de Evidently utilizados por AWSServiceRoleForCloudWatchEvidently

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Application monitoring (Monitoreo de aplicaciones), Evidently.

  3. En la lista de proyectos, seleccione la casilla situada junto a los proyectos que usaban clientes pesados.

  4. Elija Project actions (Acciones del proyecto), Delete project (Eliminar el proyecto).

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForCloudWatchEvidently. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a servicios de Evidently

Evidently admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de enlace y regiones de AWS.