Permisos de roles vinculados a servicios para S3 en Outposts Creación de un rol vinculado a un servicio para S3 en Outposts Edición de un rol vinculado a un servicio para S3 en Outposts Eliminación de un rol vinculado a un servicio para S3 en Outposts Regiones admitidas para roles vinculados a servicios de S3 en Outposts

Uso de roles vinculados a servicios para Amazon S3 en Outposts

Amazon S3 en Outposts utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a S3 en Outposts. Los roles vinculados a servicios los predefine S3 en Outposts e incluyen todos los permisos que el servicio necesita para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de S3 en Outposts porque ya no tendrá que agregar manualmente los permisos necesarios. S3 en Outposts define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo S3 en Outposts puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de S3 en Outposts, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Roles vinculados a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para S3 en Outposts

S3 en Outposts usa el rol vinculado a un servicio denominado AWSServiceRoleForS3OnOutposts para ayudarle a administrar los recursos de la red.

El rol vinculado al servicio AWSServiceRoleForS3OnOutposts depende de los siguientes servicios para asumir el rol:

s3-outposts.amazonaws.com

La política de permisos de roles llamada AWSS3OnOutpostsServiceRolePolicy permite que S3 en Outposts complete las siguientes acciones en los recursos especificados:


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeCoipPools",
                "ec2:GetCoipPoolUsage",
                "ec2:DescribeAddresses",
                "ec2:DescribeLocalGatewayRouteTableVpcAssociations"
            ],
            "Resource": "*",
            "Sid": "DescribeVpcResources"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:security-group/*"
            ],
            "Sid": "CreateNetworkInterface"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CreatedBy": "S3 On Outposts"
                }
            },
            "Sid": "CreateTagsForCreateNetworkInterface"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AllocateAddress"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:ipv4pool-ec2/*"
            ],
            "Sid": "AllocateIpAddress"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AllocateAddress"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:elastic-ip/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CreatedBy": "S3 On Outposts"
                }
            },
            "Sid": "CreateTagsForAllocateIpAddress"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:AssociateAddress"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "S3 On Outposts"
                }
            },
            "Sid": "ReleaseVpcResources"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface",
                        "AllocateAddress"
                    ],
                    "aws:RequestTag/CreatedBy": [
                        "S3 On Outposts"
                    ]
                }
            },
            "Sid": "CreateTags"
        }
    ]
}

Debe configurar permisos para permitir a una entidad de IAM (como un rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para S3 en Outposts

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un punto de conexión de S3 en Outposts en la AWS Management Console, la AWS CLI o la API de AWS, S3 en Outposts crea un rol vinculado a un servicio para usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un punto de conexión de S3 en Outposts, S3 en Outposts crea el rol vinculado a un servicio para usted de nuevo.

También puede utilizar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso de S3 en Outposts. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio s3-outposts.amazonaws.com. Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Edición de un rol vinculado a un servicio para S3 en Outposts

S3 en Outposts no le permite editar el rol vinculado a servicios AWSServiceRoleForS3OnOutposts. Esto incluye el nombre del rol porque es posible que varias entidades hagan referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para S3 en Outposts

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de S3 en Outposts utiliza el rol cuando intenta eliminar los recursos, es posible que la eliminación produzca un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de S3 en Outposts utilizados por el rol AWSServiceRoleForS3OnOutposts

Elimine los puntos de conexión de S3 en Outposts de la Cuenta de AWS en todas las Regiones de AWS.
Elimine el rol vinculado a servicios con IAM.

Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de AWSServiceRoleForS3OnOutposts. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para roles vinculados a servicios de S3 en Outposts

S3 en Outposts admite el uso de roles vinculados a servicios en todas las Regiones de AWS en las que el servicio esté disponible. Para obtener más información, consulte Regiones y puntos de conexión de S3 en Outposts.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Políticas administradas de AWS

Administración de almacenamiento de S3 en Outposts