Uso de roles vinculados a servicios de Amazon RDS - Amazon Relational Database Service
Permisos de roles vinculados a servicios de Amazon RDSPermisos de roles vinculados a servicios para Amazon RDS CustomPermisos de roles vinculados a servicios para Amazon RDS BetaRol vinculado a servicios para Amazon RDS Preview

Uso de roles vinculados a servicios de Amazon RDS

Amazon RDS utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon RDS. Los roles vinculados a servicios están predefinidos por Amazon RDS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica el uso de Amazon RDS porque ya no tendrá que agregar manualmente los permisos necesarios. Amazon RDS define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon RDS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma, se protegen los recursos de Amazon RDS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado al servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios de Amazon RDS

Amazon RDS utiliza el rol vinculado al servicio denominado AWSServiceRoleForRDS para permitir que Amazon RDS llame a servicios de AWS en nombre de sus instancias de base de datos.

El rol vinculado al servicio AWSServiceRoleForRDS confía en que los siguientes servicios asuman el rol:

  • rds.amazonaws.com

Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonRDSServiceRolePolicy, que le otorga permisos para operar en su cuenta.

Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.

nota

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:

Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.

Asegúrese de que tiene habilitados los permisos siguientes: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio de Amazon RDS

No necesita crear manualmente un rol vinculado a un servicio. Cuando crea una instancia de base de datos, Amazon RDS vuelve a crear por usted el rol vinculado al servicio.

importante

Si utilizaba el servicio Amazon RDS antes del 1 de diciembre de 2017, cuando comenzó a admitir roles vinculados a servicios, entonces Amazon RDS creó el rol AWSServiceRoleForRDS en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de AWS.

Si elimina este rol vinculado a servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una instancia de base de datos, Amazon RDS vuelve a crear por usted el rol vinculado al servicio.

Modificación de un rol vinculado a un servicio de Amazon RDS

Amazon RDS no permite editar el rol vinculado al servicio AWSServiceRoleForRDS. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado al servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de Amazon RDS

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todas las instancias para poder eliminar el rol vinculado al servicio.

Limpiar un rol vinculado a un servicio

Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.

Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles. Luego, elija el nombre (no la casilla de verificación) del rol AWSServiceRoleForRDS.

  3. En la página Summary (Resumen) del rol seleccionado, elija la pestaña Access Advisor (Acceso a Advisor).

  4. En la pestaña Access Advisor, revise la actividad reciente del rol vinculado al servicio.

    nota

    Si no está seguro de si Amazon RDS utiliza el rol AWSServiceRoleForRDS, puede intentar eliminar el rol para comprobarlo. Si el servicio está utilizando el rol, este no podrá eliminarse y podrá ver las regiones de AWS en las que se está utilizando. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a un servicio.

Si desea eliminar el rol AWSServiceRoleForRDS, primero debe eliminar sus instancias de base de datos totales.

Eliminación de todas las instancias

Use alguno de estos procedimientos para eliminar cada una de sus instancias.

Para eliminar una instancia (consola)

  1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

  2. En el panel de navegación, seleccione Databases (Bases de datos).

  3. Elija la instancia que desea eliminar.

  4. En Actions (Acciones), elija Delete (Eliminar).

  5. Si aparece el mensaje Create final Snapshot? (¿Crear instantánea final?), elija Yes (Sí) o No.

  6. Si eligió Yes (Sí) en el paso anterior, en Final snapshot name (Nombre de instantánea final) escriba el nombre de la instantánea final.

  7. Elija Eliminar.

Para eliminar una instancia (CLI)

Consulte delete-db-instance en la referencia de comandos de AWS CLI.

Para eliminar una instancia (API)

Consulte DeleteDBInstance en la Amazon RDS API Reference.

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado al servicio AWSServiceRoleForRDS. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Permisos de roles vinculados a servicios para Amazon RDS Custom

Amazon RDS Custom utiliza el rol vinculado al servicio llamado AWSServiceRoleForRDSCustom para permitir que RDS Custom llame a los servicios de AWS en nombre de sus recursos de base de datos de RDS.

El rol vinculado al servicio AWSServiceRoleForRDSCustom confía en los siguientes servicios para asumir el rol:

  • custom.rds.amazonaws.com

Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonRDSCustomServiceRolePolicy que le otorga permisos para operar en su cuenta.

Crear, editar o eliminar el rol vinculado a servicios para RDS Custom funciona igual que para Amazon RDS. Para obtener más información, consulte Política administrada por:AWS AmazonRDSCustomServiceRolePolicy.

nota

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:

Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.

Asegúrese de que tiene habilitados los permisos siguientes: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSCustomServiceRolePolicy",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"custom.rds.amazonaws.com"
        }
    }
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Permisos de roles vinculados a servicios para Amazon RDS Beta

Amazon RDS utiliza el rol vinculado al servicio llamado AWSServiceRoleForRDSBeta para que Amazon RDS pueda llamar a los servicios AWS en nombre de sus recursos de base de datos de RDS.

El rol vinculado al servicio AWSServiceRoleForRDSBeta depende de los siguientes servicios para asumir el rol:

  • rds.amazonaws.com

Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonRDSBetaServiceRolePolicy que le otorga permisos para operar en su cuenta. Para obtener más información, consulte Política administrada de:AWS AmazonRDSBetaServiceRolePolicy.

nota

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:

Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.

Asegúrese de que tiene habilitados los permisos siguientes: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSBetaServiceRolePolicy",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"custom.rds.amazonaws.com"
        }
    }
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Rol vinculado a servicios para Amazon RDS Preview

Amazon RDS utiliza el rol vinculado al servicio llamado AWSServiceRoleForRDSPreview para que Amazon RDS pueda llamar a los servicios AWS en nombre de sus recursos de base de datos de RDS.

El rol vinculado al servicio AWSServiceRoleForRDSPreview depende de los siguientes servicios para asumir el rol:

  • rds.amazonaws.com

Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonRDSPreviewServiceRolePolicy que le otorga permisos para operar en su cuenta. Para obtener más información, consulte Política administrada de:AWS AmazonRDSPreviewServiceRolePolicy.

nota

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:

Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.

Asegúrese de que tiene habilitados los permisos siguientes: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSPreviewServiceRolePolicy",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"custom.rds.amazonaws.com"
        }
    }
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.