Eliminar roles o perfiles de instancia - AWS Identity and Access Management

Eliminar roles o perfiles de instancia

Si ya no necesita un rol, le recomendamos que elimine el rol y sus permisos asociados. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa.

Si el rol se asoció a una instancia EC2, puede también eliminarlo del perfil de instancia y, a continuación, eliminar dicho perfil.

aviso

Asegúrese de que no tiene ninguna instancia de Amazon EC2 ejecutándose con el rol o el perfil de instancias que va a eliminar. Al eliminar un perfil de instancias o rol asociado a una instancia en ejecución se romperá cualquier aplicación que se esté ejecutando en la instancia.

Si prefiere no eliminar permanentemente un rol, puede deshabilitarlo. Para ello, cambie las políticas del rol y, a continuación, revoque todas las sesiones actuales. Por ejemplo, podría añadir una política al rol que denegó el acceso a todos de AWS. También puede editar la política de confianza para denegar el acceso a cualquier persona que intente asumir el rol. Para obtener más información acerca de cómo revocar sesiones, consulte Revocación de las credenciales de seguridad temporales de un rol de IAM.

Visualización del acceso a los roles

Antes de eliminar un rol, le recomendamos que revise la fecha en que se usó el rol por última vez. Para ello, utilice la AWS Management Console, la AWS CLI o la API de AWS. Debe ver esta información porque no debería eliminar el acceso de alguien que utilice el rol.

Es posible que la fecha de la última actividad del rol no coincida con la última fecha notificada en la pestaña de Último acceso. La pestaña de Último acceso informa la actividad solo para los servicios permitidos por las políticas de permisos del rol. La fecha de la última actividad del rol incluye el último intento de acceder a cualquier servicio de AWS.

nota

El periodo de seguimiento de la última actividad de un rol y los datos del Último acceso es para los últimos 400 días. Este período puede ser más corto si su Región comenzó a admitir estas características en el último año. El rol podría haberse utilizado hace más de 400 días. Para obtener más información sobre el período de seguimiento, consulte Dónde AWS se hace un seguimiento de la información de acceso reciente.

Para ver cuándo se utilizó un rol por última vez (consola)
  1. Inicie sesión en AWS Management Console Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Busque la fila del rol con la actividad que desee ver. Puede utilizar el campo de búsqueda para filtrar los resultados. Vea la columna Última actividad para ver el número de días transcurridos desde la última vez que se utilizó el rol. Si el rol no se ha utilizado dentro del período de seguimiento, la tabla muestra Ninguno.

  4. Elija el nombre del rol para ver más información. La página Resumen del rol también incluye Última actividad, que muestra la fecha en que se utilizó el rol por última vez. Si el rol no se ha utilizado en los últimos 400 días, Última actividad muestra No se ha accedido en el período de seguimiento.

Para ver cuándo se utilizó un rol por última vez (AWS CLI)

aws iam get-role - Ejecute este comando para devolver información sobre un rol, incluido el objeto RoleLastUsed. Este objeto contiene el LastUsedDate y el Region en el que se utilizó el rol por última vez. Si RoleLastUsed está presente pero no contiene un valor, el rol no se ha utilizado dentro del período de seguimiento.

Para ver cuándo se usó un rol por última vez (AWS API)

GetRole - Llame a esta operación para devolver información sobre un rol, incluido el objeto RoleLastUsed. Este objeto contiene el LastUsedDate y el Region en el que se utilizó el rol por última vez. Si RoleLastUsed está presente pero no contiene un valor, el rol no se ha utilizado dentro del período de seguimiento.

Eliminar un rol vinculado a un servicio

El método que utilice para eliminar roles vinculados a servicios depende del servicio. En algunos casos, no es necesario eliminar manualmente roles vinculados a servicios. Por ejemplo, al finalizar una acción específica (por ejemplo, retirar un recurso) en el servicio, este puede eliminar el rol vinculado al servicio en su nombre. En otros casos, el servicio podría admitir la eliminación manual de un rol vinculado al servicio mismo desde su consola, la API o la AWS CLI.

Revise la documentación del rol vinculado a servicios en el servicio vinculado para obtener información sobre cómo eliminar el rol. Puede consultar los roles vinculados a servicios en su cuenta en cualquier momento a través de la página de IAM Roles de la consola. Los roles vinculados con servicios aparecen con el texto (Service-linked role (Función vinculada al servicio)) en la columna Trusted entities (Entidades de confianza) de la tabla. Un banner en la página Resumen del rol también indica que es un tipo de rol vinculado a un servicio.

Si el servicio no incluye documentación acerca de cómo eliminar el rol vinculado al servicio, puede utilizar la consola de IAM, la AWS CLI o la API para eliminarlo.

Eliminar un rol de IAM (consola)

Cuando se utiliza la AWS Management Console para eliminar un rol, IAM elimina automáticamente las políticas administradas asociadas al rol. También elimina automáticamente cualquier política en línea asociada con el rol y cualquier perfil de instancia de Amazon EC2 que contenga el rol.

importante

En algunos casos, un rol podría estar asociado a un perfil de instancias de Amazon EC2 y tanto el rolo como el perfil de instancias podrían tener el mismo nombre. En ese caso, puede utilizar la AWS Management Console para eliminar el rol y el perfil de instancia. Este vínculo se produce de forma automática para roles y perfiles de instancia que crea en la consola. Si creó el rol desde la API de AWS CLI, Tools for Windows PowerShell o API de AWS, el rol y el perfil de instancias podrían tener distintos nombres. En ese caso no puede utilizar la consola para eliminarlos. En cambio, debe utilizar la API de AWS CLI, Tools for Windows PowerShell o API de AWS para primero eliminar el rol del perfil de instancias. A continuación, debe realizar un paso independiente para eliminar el rol.

Para eliminar un rol (consola)
  1. Inicie sesión en AWS Management Console Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Roles y, a continuación, seleccione la casilla de verificación junto al nombre del rol que desee eliminar.

  3. En la parte superior de la página, elija Delete (Eliminar).

  4. En el cuadro de diálogo de confirmación, revise la información de acceso reciente, donde se indica cuándo accedió cada uno de los roles seleccionados a un servicio de AWS por última vez. Esto le ayuda a confirmar si el rol está actualmente activo. Si desea continuar, escriba el nombre del rol en el campo de entrada de texto y elija Eliminar. Si está seguro, puede continuar con la eliminación, aunque la información de acceso reciente siga cargándose.

nota

No puede utilizar la consola para eliminar un perfil de instancia, a no ser que tenga el mismo nombre que el rol. El perfil de instancias se elimina como parte del proceso de eliminación de un rol, tal y como se describe en el procedimiento anterior. Para eliminar un perfil de instancia sin eliminar también el rol, debe utilizar la AWS CLI o la API de AWS. Para obtener más información, consulte las siguientes secciones.

Eliminar un rol de IAM (AWS CLI)

Cuando utiliza la AWS CLI para eliminar un rol, antes debe eliminar las políticas insertadas asociadas al rol. También debe desvincular las políticas administradas asociadas al rol. Si desea eliminar el perfil de instancia asociado que incluye el rol, debe eliminarlo por separado.

Para eliminar un rol (AWS CLI)
  1. Si no conoce el nombre del rol que desea eliminar, escriba el siguiente comando para enumerar los roles de su cuenta:

    aws iam list-roles

    La lista incluye el Nombre de recurso de Amazon (ARN) de cada rol. Utilice el nombre del rol, no el ARN, para hacer referencia a los roles con los comandos de CLI. Por ejemplo, si un rol tiene el ARN arn:aws:iam::123456789012:role/myrole, debe referirse a él como myrole.

  2. Elimine el rol de todos los perfiles de instancia en los que está asociado.

    1. Para enumerar todos los perfiles de instancia con los que se asocia el rol, escriba el siguiente comando:

      aws iam list-instance-profiles-for-role --role-name role-name
    2. Para eliminar el rol de un perfil de instancia, escriba el siguiente comando para cada perfil de instancia:

      aws iam remove-role-from-instance-profile --instance-profile-name instance-profile-name --role-name role-name
  3. Elimine todas las políticas asociadas al rol.

    1. Para enumerar todas las políticas insertadas que están en el rol, ingrese el siguiente comando:

      aws iam list-role-policies --role-name role-name
    2. Para eliminar cada política insertada del rol, ingrese el siguiente comando para cada política:

      aws iam delete-role-policy --role-name role-name --policy-name policy-name
    3. Para enumerar todas las políticas administradas que están asociadas al rol, ingrese el siguiente comando:

      aws iam list-attached-role-policies --role-name role-name
    4. Para desvincular cada política administrada del rol, ingrese el siguiente comando para cada política:

      aws iam detach-role-policy --role-name role-name --policy-arn policy-arn
  4. Escriba el comando siguiente para eliminar el rol:

    aws iam delete-role --role-name role-name
  5. Si no tiene pensado reutilizar los perfiles de instancia que se asociaron al rol, puede escribir el siguiente comando para eliminarlos:

    aws iam delete-instance-profile --instance-profile-name instance-profile-name

Eliminar un rol de IAM (API de AWS)

Si utiliza la API de IAM para eliminar un rol, antes debe eliminar las políticas insertadas asociadas al rol. También debe desvincular las políticas administradas asociadas al rol. Si desea eliminar el perfil de instancia asociado que incluye el rol, debe eliminarlo por separado.

Para eliminar un rol (API de AWS)
  1. Para enumerar todos los perfiles de instancia asociados a un rol, llame a ListInstanceProfilesForRole.

    Para eliminar el rol de un perfil de instancia, llame a RemoveRoleFromInstanceProfile. Debe transmitir el nombre del rol y el nombre del perfil de instancia.

    Si no va a volver a utilizar un perfil de instancia que estaba asociado al rol, llame a DeleteInstanceProfile para eliminarlo.

  2. Para enumerar todas las políticas insertadas de un rol, llame a ListRolePolicies.

    Para eliminar todas las políticas insertadas asociadas al rol, llame a DeleteRolePolicy. Debe pasar el nombre del rol y el nombre de la política insertada.

  3. Para enumerar todas las políticas administradas que se encuentran asociadas a un rol, llame a ListAttachedRolePolicies.

    Para desvincular políticas administradas que se encuentran asociadas al rol, llame a DetachRolePolicy. Debe pasar el nombre del rol y el ARN de la política administrada.

  4. Llame a DeleteRole para eliminar el rol.

Para obtener información general sobre los perfiles de instancia, consulte Utilizar perfiles de instancia.

Para obtener información general acerca de los roles vinculados a servicios, consulte Creación de un rol vinculado al servicio.