Uso de roles vinculados a servicios de AWS Identity and Access Management Access Analyzer
AWS Identity and Access Management Access Analyzer utiliza un rol vinculado al servicio de (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente al Analizador de acceso de IAM. Los roles vinculados a servicios están predefinidos por el Analizador de acceso de IAM e incluyen todos los permisos que la característica requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica la configuración del Analizador de acceso de IAM porque ya no tendrá que agregar manualmente los permisos necesarios. El Analizador de acceso de IAM define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo el Analizador de acceso de IAM puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service Linked Role (Rol vinculado a servicios). Seleccione una opción Sí con un enlace para ver la documentación relativa al rol vinculado al servicio en cuestión.
Permisos de roles vinculados a servicios de AWS Identity and Access Management Access Analyzer
AWS Identity and Access Management Access Analyzer El Analizador de acceso de IAM utiliza un rol vinculado al servicio denominado AWSServiceRoleForAccessAnalyzer: Permite que el Analizador de acceso analice los metadatos de recursos para el acceso externo y analice la actividad para identificar el acceso no utilizado.
El rol vinculado al servicio AWSServiceRoleForAccessAnalyzer confía en que los siguientes servicios asuman el rol:
-
access-analyzer.amazonaws.com
La política de permisos del rol llamada AccessAnalyzerServiceRolePolicy permite que el Analizador de acceso de IAM realice acciones en recursos específicos.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a servicios para el Analizador de acceso de IAM
No necesita crear manualmente un rol vinculado a servicios. Cuando habilita el Analizador de acceso en el AWS Management Console o la API AWS, el Analizador de acceso de IAM crea el rol vinculado al servicio por usted. El mismo rol vinculado al servicio se utiliza en todas las regiones en las que se habilita el Analizador de acceso de IAM. Tanto los resultados de acceso externo como los de acceso no utilizados utilizan la misma función vinculada al servicio.
nota
Analizador de acceso de IAM es regional. Debe habilitar el Analizador de acceso de IAM en cada región de forma independiente.
Si elimina este rol vinculado al servicio, el Analizador de acceso de IAM vuelve a crear el rol la próxima vez que cree un analizador.
También puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de uso del Analizador de acceso. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio access-analyzer.amazonaws.com
. Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
Edición de un rol vinculado a servicios para el Analizador de acceso de IAM
El Analizador de acceso de IAM no le permite editar el rol vinculado al servicio AWSServiceRoleForAccessAnalyzer. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a servicios para el Analizador de acceso de IAM
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el Analizador de acceso de IAM está utilizando el rol cuando se intentan eliminar los recursos, es posible que se produzcan errores en la operación de eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.
Eliminar los recursos del Analizador de acceso de IAM que utiliza AWSServiceRoleForAccessAnalyzer
-
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En la sección Access reports (Informes de acceso), en Analizador de acceso, elija Analizadores.
-
Seleccione la casilla de verificación situada en la parte superior izquierda de la lista de analizadores de la tabla Analizadores para seleccionar todos los analizadores.
-
Elija Eliminar.
-
Para confirmar que desea eliminar los analizadores, escriba
delete
y, a continuación, elija Delete (Eliminar).
Eliminación manual del rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios AWSServiceRoleForAccessAnalyzer. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados a un servicio del Analizador de acceso de IAM
El Analizador de acceso de IAM admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Regiones y puntos de conexión de AWS.