Roles vinculados a servicios para Application Auto Scaling
Application Auto Scaling utiliza roles vinculados a servicios para los permisos que necesita para llamar a otros servicios de AWS en su nombre. Un rol vinculado a un servicio es un tipo único de rol de (IAM) AWS Identity and Access Management que está vinculado directamente a un servicio de AWS. Los roles vinculados a servicios ofrecen una manera segura de delegar permisos a los servicios de AWS, ya que solo los servicios vinculados pueden asumir roles vinculados a servicios.
Contenido
- Información general
- Permisos necesarios para crear un rol vinculado a un servicio
- Creación del roles vinculados a servicios (automático)
- Creación del roles vinculados a servicios (manual)
- Edición de roles vinculados a servicios
- Eliminación de los roles vinculados a servicios
- Regiones admitidas de roles vinculados al servicio necesarios para Application Auto Scaling
- Referencia del ARN del rol vinculado al servicio
Información general
Para los servicios que se integran con Application Auto Scaling, Application Auto Scaling crea roles vinculados a servicios para usted. Hay un rol vinculado a servicio para cada servicio. Cada rol vinculado a servicio confía en que la entidad de seguridad de servicio especificada lo asuma. Para obtener más información, consulte Servicios de AWS que puede utilizar con Auto Scaling de aplicaciones.
Application Auto Scaling incluye todos los permisos necesarios para cada rol vinculado a un servicio. Estos permisos administrados se crean y administran mediante Application Auto Scaling y definen las acciones permitidas para cada tipo de recurso. Para obtener información detallada acerca de los permisos que cada rol concede, consulte políticas administradas de AWS para Application Auto Scaling.
En las secciones siguientes se describe cómo crear y administrar roles vinculados a servicios de Application Auto Scaling. Comience configurando permisos que permitan a una entidad de IAM (como un usuario, un grupo o un rol) crear, editar o eliminar un rol vinculado al servicio.
Permisos necesarios para crear un rol vinculado a un servicio
Application Auto Scaling requiere permisos para crear un rol vinculado a un servicio la primera vez que un usuario de su Cuenta de AWS llama a RegisterScalableTarget
para un servicio determinado. Application Auto Scaling crea un rol vinculado al servicio para el servicio de destino de su cuenta, si el rol aún no existe. El rol vinculado al servicio concede permisos a Application Auto Scaling para que pueda llamar al servicio de destino en su nombre.
Para que la creación automática de roles se realice correctamente, los usuarios deben disponer de permisos para la acción iam:CreateServiceLinkedRole
.
"Action": "iam:CreateServiceLinkedRole"
La siguiente es una política basada en la identidad que concede permisos para crear un rol vinculado a un servicio para la flota de spot. Puede especificar el rol vinculado al servicio en el campo Resource
de la política como ARN y la entidad de seguridad de servicio para su rol vinculado al servicio como condición, tal y como se muestra. Para obtener el ARN de cada servicio, consulte Referencia del ARN del rol vinculado al servicio.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest
",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com
"
}
}
}
]
}
nota
La clave de condición de IAM iam:AWSServiceName
especifica la entidad de seguridad de servicio a la que está asociada el rol, que se indica en esta política de ejemplo como
. No trate de adivinar la entidad de seguridad de servicio. Para ver la entidad de seguridad de servicio de un servicio, consulte Servicios de AWS que puede utilizar con Auto Scaling de aplicaciones.ec2.application-autoscaling
.amazonaws.com
Creación del roles vinculados a servicios (automático)
No necesita crear manualmente un rol vinculado a servicios. Application Auto Scaling; crea el rol vinculado al servicio correspondiente por usted cuando llama a RegisterScalableTarget
. Por ejemplo, si configura el escalado automático para un servicio de Amazon ECS, Application Auto Scaling crea el rol AWSServiceRoleForApplicationAutoScaling_ECSService
.
Creación del roles vinculados a servicios (manual)
Para crear el rol vinculado al servicio, puede utilizar la consola de IAM, AWS CLI, la API de IAM. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.
Para crear un rol vinculado a un servicio (AWS CLI)
Utilice el siguiente comando create-service-linked-role de la CLI para crear el rol vinculado al servicio de Application Auto Scaling. En la solicitud, especifique el nombre del servicio “prefijo”.
Para buscar el prefijo de nombre de servicio, consulte la información acerca de la entidad de seguridad de servicio del rol vinculado al servicio para cada servicio en la sección Servicios de AWS que puede utilizar con Auto Scaling de aplicaciones. El nombre del servicio y la entidad de seguridad de servicio comparten el mismo prefijo. Por ejemplo, para crear el rol vinculado al servicio de AWS Lambda utilice lambda.application-autoscaling.amazonaws.com
.
aws iam create-service-linked-role --aws-service-name
prefix
.application-autoscaling.amazonaws.com
Edición de roles vinculados a servicios
En el caso de los roles vinculados a servicios creados por Application Auto Scaling, solo puede editar sus descripciones. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de los roles vinculados a servicios
Si ya no utiliza Application Auto Scaling con un servicio compatible, le recomendamos que elimine el rol vinculado al servicio correspondiente.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos de AWS relacionados. De este modo, evitará también que pueda revocar por accidente los permisos de Application Auto Scaling para los recursos. Para obtener más información, consulte la documentación del recurso escalable. Por ejemplo, para eliminar un servicio de Amazon ECS, consulte Eliminación de un servicio en la Guía del desarrollador de servicio del contenedor elástico Amazon.
Puede utilizar IAM para eliminar un rol vinculado al servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Después de eliminar un rol vinculado a un servicio, Application Auto Scaling crea de nuevo el rol si se llama a RegisterScalableTarget
.
Regiones admitidas de roles vinculados al servicio necesarios para Application Auto Scaling
Application Auto Scaling soporta el uso de roles vinculados a servicios en todas las regiones de AWS en las que el servicio está disponible.
Referencia del ARN del rol vinculado al servicio
Servicio | ARN |
---|---|
AppStream 2.0 | arn:aws:iam:: |
Aurora | arn:aws:iam:: |
Comprehend | arn:aws:iam:: |
DynamoDB | arn:aws:iam:: |
ECS | arn:aws:iam:: |
ElastiCache | arn:aws:iam:: |
Keyspaces | arn:aws:iam:: |
Lambda | arn:aws:iam:: |
MSK | arn:aws:iam:: |
Neptune | arn:aws:iam:: |
SageMaker | arn:aws:iam:: |
Spot Fleets | arn:aws:iam:: |
Recursos personalizados | arn:aws:iam:: |
nota
Puede especificar el ARN de un rol vinculado a servicio para la propiedad RoleARN
de un recurso AWS::ApplicationAutoScaling::ScalableTarget en sus plantillas de pila de AWS CloudFormation, incluso si el rol vinculado al servicio especificado aún no existe. Application Auto Scaling crea automáticamente el rol para usted.