Uso de roles vinculados a servicios para CloudWatch RUM - Amazon CloudWatch

Uso de roles vinculados a servicios para CloudWatch RUM

CloudWatch RUM utiliza service-linked roles (roles vinculados a servicios) deAWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a RUM. Los roles vinculados a servicios están predefinidos por RUM e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

RUM define los permisos de estos roles vinculados a un servicio y, a menos que esté definido de otra manera, solo RUM puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. Esta restricción protege los recursos de RUM, ya que evita que se puedan quitar permisos de acceso a ellos de forma accidental.

Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-Linked Role (Rol vinculado a servicios). Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para RUM

RUM usa el rol vinculado a un servicio denominado AWSServiceRoleForCloudWatchRUM (Rol de servicio para CloudWatch RUM): esta función permite que RUM envíe datos de seguimiento de AWS X-Ray a su cuenta, para monitores de aplicaciones para los que habilita el seguimiento de X-Ray.

El rol vinculado al servicio AWSServiceRoleForCloudWatchCrossAccount confía en que el servicio de X-Ray asuma el rol. X-Ray envía los datos de seguimiento a su cuenta.

El rol vinculado al servicio AWSServiceRoleForCloudWatchRUM tiene una política de IAM adjunta denominadaAmazonCloudWatchRUMServiceRolePolicy (Política de rol de servicio de Amazon CloudWatch RUM). Esta política le concede permiso a CloudWatch RUM para publicar datos de monitoreo en otros servicios relevantes de AWS. Incluye permisos que permiten que RUM complete las siguientes acciones:

  • xray:PutTraceSegments

Creación de un rol vinculado a un servicio para RUM

No es necesario crear un rol vinculado a un servicio de forma manual para CloudWatch RUM. La primera vez que crea un monitor de aplicaciones con el seguimiento de X-Ray habilitado o actualiza un monitor de aplicaciones para utilizar el seguimiento de X-Ray, RUM le crea un AWSServiceRoleForCloudWatchRUM.

Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Edición de un rol vinculado a un servicio para RUM

CloudWatch RUM no le permite editar el rol AWSServiceRoleForCloudWatchRUM. Después de crear estos roles, no puede cambiar sus nombres, porque diversas entidades pueden hacer referencia a ellos. Sin embargo, puede editar la descripción de estos roles mediante IAM.

Edición de la descripción de un rol vinculado a un servicio (consola de IAM)

Puede utilizar la consola de IAM para editar la descripción de un rol vinculado a un servicio.

Para editar la descripción de un rol vinculado a un servicio (consola)

  1. En el panel de navegación de la consola de IAM, elija Roles (Roles).

  2. Seleccione el nombre del rol que desea modificar.

  3. En el extremo derecho de Role description, seleccione Edit.

  4. Escriba una nueva descripción en el cuadro y elija Save (Guardar).

Edición de la descripción de un rol vinculado a servicio (AWS CLI)

Puede utilizar comandos de IAM desde la AWS Command Line Interface para editar la descripción de un rol vinculado a un servicio.

Para cambiar la descripción de un rol vinculado a un servicio (AWS CLI)

  1. (Opcional) Para ver la descripción actual de un rol, ejecute uno de los siguientes comandos:

    $ aws iam get-role --role-name role-name

    Utilice el nombre del rol, no el ARN, para hacer referencia a los roles con los comandos de AWS CLI. Por ejemplo, si un rol tiene el ARN arn:aws:iam::123456789012:role/myrole, debe referirse a él como myrole.

  2. Para actualizar la descripción de un rol vinculado a un servicio, ejecute el siguiente comando:

    $ aws iam update-role-description --role-name role-name --description description

Edición de la descripción de un rol vinculado a un servicio (API de IAM)

Puede utilizar la API de IAM para editar la descripción de un rol vinculado a un servicio.

Para cambiar la descripción de un rol vinculado a un servicio (API)

  1. (Opcional) Para ver la descripción actual de una función, ejecute el siguiente comando:

    GetRole

  2. Para actualizar la descripción de una función, use el siguiente comando:

    UpdateRoleDescription

Eliminación de un rol vinculado a un servicio para RUM

Si ya no tiene monitores de aplicación con X-Ray habilitado, le recomendamos que elimine el rol AWSServiceRoleForCloudWatchRUM.

De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado al servicio antes de eliminarlo.

Limpiar un rol vinculado a servicios

Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.

Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles (Roles) en el panel de navegación. Elija el nombre (no el casillero) del rol AWSServiceRoleForCloudWatchRUM.

  3. En la página Summary del rol seleccionado, elija Access Advisor y revise la actividad reciente del rol vinculado al servicio.

    nota

    Si no está seguro acerca de si RUM utiliza el rol AWSServiceRoleForCloudWatchRUM, intente eliminar el rol. Si el servicio está utilizando el rol, este no podrá eliminarse y podrá ver las regiones de en las que se está utilizando. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a servicios.

Eliminación de un rol vinculado a un servicio (consola de IAM)

Puede utilizar la consola de IAM para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles (Roles) en el panel de navegación. Seleccione la casilla junto al nombre del rol que desea eliminar, no el nombre ni la fila.

  3. En Role actions, elija Delete role.

  4. En el cuadro de diálogo de confirmación, revise los datos del último acceso al servicio, que muestra cuándo cada uno de los roles seleccionados tuvo acceso a un servicio de AWS por última vez. Esto lo ayuda a confirmar si el rol está actualmente activo. Para continuar, elija Yes, Delete.

  5. Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Debido a que el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, la tarea de eliminación puede realizarse correcta o incorrectamente después de que envía la solicitud de eliminación. Si la tarea no se realiza correctamente, elija View details o View Resources desde las notificaciones para obtener información acerca de por qué no se pudo eliminar el rol. Si la eliminación no pudo producirse porque hay recursos en el servicio que está utilizando el rol, entonces el motivo del error incluye una lista de recursos.

Eliminar un rol vinculado a un servicio (AWS CLI)

Puede utilizar los comandos de IAM desde la AWS Command Line Interface para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (AWS CLI)

  1. Como laos roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor deletion-task-id de la respuesta para comprobar el estado de la tarea de eliminación. Escriba el siguiente comando para enviar una solicitud de eliminación de un rol vinculado a un servicio:

    $ aws iam delete-service-linked-role --role-name service-linked-role-name
  2. Escriba el siguiente comando para comprobar el estado de la tarea de eliminación:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.

Eliminación de un rol vinculado a un servicio (API de IAM)

Puede utilizar la API de IAM para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (API)

  1. Para enviar una solicitud de eliminación de un rol vinculado a un servicio, realice una llamada a DeleteServiceLinkedRole. En la solicitud, especifique el nombre de rol que desea eliminar.

    Como laos roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor DeletionTaskId de la respuesta para comprobar el estado de la tarea de eliminación.

  2. Para comprobar el estado de la tarea de eliminación, realice una llamada a GetServiceLinkedRoleDeletionStatus. En la solicitud, especifique el valor de DeletionTaskId.

    El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.