Uso de roles vinculados a servicios de AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management

Uso de roles vinculados a servicios de AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer utiliza un rol vinculado al servicio de (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Access Analyzer. Los roles vinculados a servicios están predefinidos por IAM Access Analyzer e incluyen todos los permisos que la característica requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de IAM Access Analyzer porque ya no tendrá que agregar manualmente los permisos necesarios. IAM Access Analyzer define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Access Analyzer puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service Linked Role (Rol vinculado a servicios). Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer IAM Access Analyzer utiliza un rol vinculado al servicio denominado AWSServiceRoleForAccessAnalyzer: permite al analizador de acceso analizar los metadatos del recurso.

El rol vinculado al servicio AWSServiceRoleForAccessAnalyzer confía en que los siguientes servicios asuman el rol:

  • access-analyzer.amazonaws.com

La política de permisos del rol llamada AccessAnalyzerServiceRolePolicy permite que IAM Access Analyzer realice acciones en recursos específicos.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Crear un rol vinculado a servicios para IAM Access Analyzer

No necesita crear manualmente un rol vinculado a servicios. Cuando habilita Access Analyzer en el AWS Management Console o el AWS API, IAM Access Analyzer crea el rol vinculado al servicio por usted. El mismo rol vinculado al servicio se utiliza en todas las regiones en las que se habilita IAM Access Analyzer. Tanto los resultados de acceso externo como los de acceso no utilizados utilizan la misma función vinculada al servicio.

nota

Analizador de acceso de IAM es regional. Debe habilitar IAM Access Analyzer en cada región de forma independiente.

Si elimina este rol vinculado al servicio, IAM Access Analyzer vuelve a crear el rol la próxima vez que cree un analizador.

También puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de uso de Access Analyzer. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio access-analyzer.amazonaws.com. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Editar un rol vinculado a servicios para IAM Access Analyzer

IAM Access Analyzer no le permite editar el rol vinculado al servicio AWSServiceRoleForAccessAnalyzer. Después de crear un rol vinculado a servicios, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM..

Eliminar un rol vinculado a servicios para IAM Access Analyzer

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a servicios, recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si IAM Access Analyzer está utilizando el rol cuando se intentan eliminar los recursos, es posible que se produzcan errores en la operación de eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación de los recursos IAM de Access Analyzer que utiliza AWSServiceRoleForAccessAnalyzer
  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En la sección Access reports (Informes de acceso), en Access analyzer (Analizador de acceso), elija Analyzers (Analizadores).

  3. Seleccione la casilla de verificación situada en la parte superior izquierda de la lista de analizadores de la tabla Analizadores para seleccionar todos los analizadores.

  4. Elija Eliminar.

  5. Para confirmar que desea eliminar los analizadores, escriba delete y, a continuación, elija Delete (Eliminar).

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios AWSServiceRoleForAccessAnalyzer. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a un servicio de IAM Access Analyzer

IAM Access Analyzer admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Regiones y puntos de enlace de AWS.