Uso de roles vinculados a servicios de Amazon Aurora - Amazon Aurora
Permisos de roles vinculados a servicios de Amazon Aurora

Uso de roles vinculados a servicios de Amazon Aurora

Amazon Aurora utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon Aurora. Los roles vinculados a servicios están predefinidos por Amazon Aurora e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica el uso de Amazon Aurora porque ya no tendrá que agregar manualmente los permisos necesarios. Amazon Aurora define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon Aurora puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma, se protegen los recursos de Amazon Aurora, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado al servicio. Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de Amazon Aurora

Amazon Aurora utiliza el rol vinculado al servicio denominado AWSServiceRoleForRDS para permitir que Amazon RDS llame a servicios de AWS en nombre de sus clústeres de base de datos.

El rol vinculado al servicio AWSServiceRoleForRDS confía en que los siguientes servicios asuman el rol:

  • rds.amazonaws.com

Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonRDSServiceRolePolicy, que le otorga permisos para operar en su cuenta. La política de permisos del rol permite que Amazon Aurora realice las siguientes acciones en los recursos especificados:

Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

nota

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:

Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.

Asegúrese de que tiene habilitados los permisos siguientes: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio de Amazon Aurora

No necesita crear manualmente un rol vinculado a un servicio. Cuando crea un clúster de base de datos, Amazon Aurora vuelve a crear por usted el rol vinculado al servicio.

importante

Si utilizaba el servicio Amazon Aurora antes del 1 de diciembre de 2017, cuando comenzó a admitir roles vinculados a servicios, entonces Amazon Aurora creó el rol AWSServiceRoleForRDS en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de AWS.

Si elimina este rol vinculado a servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un clúster de base de datos, Amazon Aurora vuelve a crear por usted el rol vinculado al servicio.

Modificación de un rol vinculado a un servicio de Amazon Aurora

Amazon Aurora no permite editar el rol vinculado al servicio AWSServiceRoleForRDS. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado al servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de Amazon Aurora

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los clústeres para poder eliminar el rol vinculado al servicio.

Limpiar un rol vinculado a un servicio

Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.

Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles (Roles). Luego, elija el nombre (no la casilla de verificación) del rol AWSServiceRoleForRDS.

  3. En la página Summary (Resumen) del rol seleccionado, elija la pestaña Access Advisor (Acceso a Advisor).

  4. En la pestaña Access Advisor, revise la actividad reciente del rol vinculado al servicio.

    nota

    Si no está seguro de si Amazon Aurora utiliza el rol AWSServiceRoleForRDS, puede intentar eliminar el rol para comprobarlo. Si el servicio está utilizando el rol, este no podrá eliminarse y podrá ver las regiones de AWS en las que se está utilizando. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a un servicio.

Si desea eliminar el rol AWSServiceRoleForRDS, primero debe eliminar sus clústeres de base de datos totales.

Eliminación de todos los clústeres

Use alguno de estos procedimientos para eliminar un clúster. Repita el procedimiento para cada uno de los clústeres.

Para eliminar un clúster (consola)

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En la lista Databases (Bases de datos), elija el clúster que desea eliminar.

  3. En Cluster Actions (Acciones de clúster), seleccione Delete (Eliminar).

  4. Elija Eliminar (Delete).

Para eliminar un clúster (CLI)

Consulte delete-db-cluster en la referencia de comandos de AWS CLI.

Para eliminar un clúster (API)

Consulte DeleteDBCluster en la Amazon RDS API Reference.

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado al servicio AWSServiceRoleForRDS. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.