Roles vinculados a servicios para Auto Scaling de aplicaciones - Application Auto Scaling

Roles vinculados a servicios para Auto Scaling de aplicaciones

Auto Scaling de aplicaciones utiliza roles vinculados a servicios para los permisos que necesita para llamar a otros servicios de AWS en su nombre. Un rol vinculado a un servicio es un tipo único de rol de (IAM) AWS Identity and Access Management que está vinculado directamente a un servicio de AWS. Los roles vinculados a servicios ofrecen una manera segura de delegar permisos a los servicios de AWS, ya que solo los servicios vinculados pueden asumir roles vinculados a servicios.

Información general

Para los servicios que se integran con Auto Scaling de aplicaciones, Auto Scaling de aplicaciones crea roles vinculados a servicios para usted. Hay un rol vinculado a servicio para cada servicio. Cada rol vinculado a servicio confía en que la entidad de seguridad de servicio especificada lo asuma. Para obtener más información, consulte Servicios de AWS que puede utilizar con Auto Scaling de aplicaciones .

Auto Scaling de aplicaciones incluye todos los permisos necesarios para cada rol vinculado a un servicio. Estos permisos administrados se crean y administran mediante Auto Scaling de aplicaciones y definen las acciones permitidas para cada tipo de recurso. Para obtener información detallada acerca de los permisos que cada rol concede, consulte políticas administradas de AWS para Auto Scaling de aplicaciones.

En las secciones siguientes se describe cómo crear y administrar roles vinculados a servicios de Auto Scaling de aplicaciones. Comience configurando permisos que permitan a una entidad de IAM (como un usuario, un grupo o un rol) crear, editar o eliminar un rol vinculado al servicio.

Permisos necesarios para crear un rol vinculado a un servicio

Auto Scaling de aplicaciones requiere permisos para crear un rol vinculado a un servicio la primera vez que un usuario de sus llamadas de Cuenta de AWS RegisterScalableTarget para un servicio determinado. Auto Scaling de aplicaciones crea un rol vinculado al servicio para el servicio de destino de su cuenta, si el rol aún no existe. El rol vinculado al servicio concede permisos a Auto Scaling de aplicaciones para que pueda llamar al servicio de destino en su nombre.

Para que la creación automática de roles se realice correctamente, los usuarios deben disponer de permisos para la acción iam:CreateServiceLinkedRole.

"Action": "iam:CreateServiceLinkedRole"

El siguiente ejemplo es una política de permisos que permite a un usuario crear un rol de IAM vinculado a un servicio para la flota de spot. Puede especificar el rol vinculado al servicio en el campo Resource de la política como ARN y la entidad de seguridad de servicio para su rol vinculado al servicio como condición, tal y como se muestra. Para obtener el ARN de cada servicio, consulte Referencia del ARN del rol vinculado al servicio.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
nota

La clave de condición de IAM iam:AWSServiceName especifica la entidad de seguridad de servicio a la que está asociada el rol, que se indica en esta política de ejemplo como ec2.application-autoscaling.amazonaws.com. No trate de adivinar la entidad de seguridad de servicio. Para ver la entidad de seguridad de servicio de un servicio, consulte Servicios de AWS que puede utilizar con Auto Scaling de aplicaciones.

Creación del roles vinculados a servicios (automático)

No necesita crear manualmente un rol vinculado a servicios. Auto Scaling de aplicaciones; crea el rol vinculado al servicio correspondiente por usted cuando llama a RegisterScalableTarget. Por ejemplo, si configura el escalado automático para un servicio de Amazon ECS, Auto Scaling de aplicaciones crea el rol AWSServiceRoleForApplicationAutoScaling_ECSService.

Creación del roles vinculados a servicios (manual)

Para crear el rol vinculado al servicio, puede utilizar la consola de IAM, AWS CLI, la API de IAM. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Para crear un rol vinculado a un servicio (AWS CLI)

Utilice el siguiente comando create-service-linked-role de la CLI para crear el rol vinculado al servicio de Auto Scaling de aplicaciones. En la solicitud, especifique el nombre del servicio “prefijo”.

Para buscar el prefijo de nombre de servicio, consulte la información acerca de la entidad de seguridad de servicio del rol vinculado al servicio para cada servicio en la sección Servicios de AWS que puede utilizar con Auto Scaling de aplicaciones. El nombre del servicio y la entidad de seguridad de servicio comparten el mismo prefijo. Por ejemplo, para crear el rol vinculado al servicio de AWS Lambda utilice lambda.application-autoscaling.amazonaws.com.

aws iam create-service-linked-role --aws-service-name prefix.application-autoscaling.amazonaws.com

Edición de roles vinculados a servicios

En el caso de los roles vinculados a servicios creados por Auto Scaling de aplicaciones, solo puede editar sus descripciones. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de los roles vinculados a servicios

Si ya no utiliza Auto Scaling de aplicaciones con un servicio compatible, le recomendamos que elimine el rol vinculado al servicio correspondiente.

Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos de AWS relacionados. De este modo, evitará también que pueda revocar por accidente los permisos de Auto Scaling de aplicaciones para los recursos. Para obtener más información, consulte la documentación del recurso escalable. Por ejemplo, para eliminar un servicio de Amazon ECS, consulte Eliminación de un servicio en la Guía del desarrollador de servicio del contenedor elástico Amazon.

Puede utilizar IAM para eliminar un rol vinculado al servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Después de eliminar un rol vinculado a un servicio, Auto Scaling de aplicaciones crea de nuevo el rol si se llama a RegisterScalableTarget.

Regiones admitidas de roles vinculados al servicio necesarios para Auto Scaling de aplicaciones

Auto Scaling de aplicaciones soporta el uso de roles vinculados a servicios en todas las regiones de AWS en las que el servicio está disponible.

Referencia del ARN del rol vinculado al servicio

Servicio ARN
AppStream 2.0 arn:aws:iam::012345678910:role/aws-service-role/appstream.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_AppStreamFleet
Aurora arn:aws:iam::012345678910:role/aws-service-role/rds.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_RDSCluster
Comprehend arn:aws:iam::012345678910:role/aws-service-role/comprehend.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_ComprehendEndpoint
DynamoDB arn:aws:iam::012345678910:role/aws-service-role/dynamodb.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_DynamoDBTable
ECS arn:aws:iam::012345678910:role/aws-service-role/ecs.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_ECSService
ElastiCache arn:aws:iam::012345678910:role/aws-service-role/elasticache.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_ElastiCacheRG
Keyspaces arn:aws:iam::012345678910:role/aws-service-role/cassandra.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_CassandraTable
Lambda arn:aws:iam::012345678910:role/aws-service-role/lambda.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_LambdaConcurrency
MSK arn:aws:iam::012345678910:role/aws-service-role/kafka.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_KafkaCluster
Neptune arn:aws:iam::012345678910:role/aws-service-role/neptune.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_NeptuneCluster
SageMaker arn:aws:iam::012345678910:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint
Spot Fleets arn:aws:iam::012345678910:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest
Recursos personalizados arn:aws:iam::012345678910:role/aws-service-role/custom-resource.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_CustomResource
nota

Puede especificar el ARN de un rol vinculado a servicio para la propiedad RoleARN de un recurso AWS::ApplicationAutoScaling::ScalableTarget en sus plantillas de pila de AWS CloudFormation, incluso si el rol vinculado al servicio especificado aún no existe. Auto Scaling de aplicaciones crea automáticamente el rol para usted.