Roles vinculados a servicios para Application Auto Scaling - Aplicación de escalado automático

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Roles vinculados a servicios para Application Auto Scaling

Application Auto Scaling utiliza funciones vinculadas a servicios para obtener los permisos que necesita para llamar a otros AWS servicios en su nombre. Un rol vinculado a un servicio es un tipo único de rol AWS Identity and Access Management (IAM) que está vinculado directamente a un servicio. AWS Los roles vinculados al servicio proporcionan una forma segura de delegar permisos a los AWS servicios, ya que solo el servicio vinculado puede asumir un rol vinculado al servicio.

Información general

Para los servicios que se integran con Application Auto Scaling, Application Auto Scaling crea roles vinculados a servicios para usted. Hay un rol vinculado a servicio para cada servicio. Cada rol vinculado a servicio confía en que la entidad de seguridad de servicio especificada lo asuma. Para obtener más información, consulte AWS servicios que puede usar con Application Auto Scaling.

Application Auto Scaling incluye todos los permisos necesarios para cada rol vinculado a un servicio. Estos permisos administrados se crean y administran mediante Application Auto Scaling y definen las acciones permitidas para cada tipo de recurso. Para obtener información detallada acerca de los permisos que cada rol concede, consulte AWS políticas gestionadas para Application Auto Scaling.

En las secciones siguientes se describe cómo crear y administrar roles vinculados a servicios de Application Auto Scaling. Comience configurando permisos que permitan a una entidad de IAM (como un usuario, un grupo o un rol) crear, editar o eliminar un rol vinculado al servicio.

Permisos necesarios para crear un rol vinculado a un servicio

Application Auto Scaling requiere permisos para crear un rol vinculado a un servicio la primera vez que un usuario de la empresa Cuenta de AWS llame a RegisterScalableTarget un servicio determinado. Application Auto Scaling crea un rol vinculado al servicio para el servicio de destino de su cuenta, si el rol aún no existe. El rol vinculado al servicio concede permisos a Application Auto Scaling para que pueda llamar al servicio de destino en su nombre.

Para que la creación automática de roles se realice correctamente, los usuarios deben disponer de permisos para la acción iam:CreateServiceLinkedRole.

"Action": "iam:CreateServiceLinkedRole"

La siguiente es una política basada en la identidad que concede permisos para crear un rol vinculado a un servicio para la flota de spot. Puede especificar el rol vinculado al servicio en el campo Resource de la política como ARN y la entidad de seguridad de servicio para su rol vinculado al servicio como condición, tal y como se muestra. Para obtener el ARN de cada servicio, consulte Referencia del ARN del rol vinculado al servicio.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
nota

La clave de condición de IAM iam:AWSServiceName especifica la entidad de seguridad de servicio a la que está asociada el rol, que se indica en esta política de ejemplo como ec2.application-autoscaling.amazonaws.com. No trate de adivinar la entidad de seguridad de servicio. Para ver la entidad de seguridad de servicio de un servicio, consulte AWS servicios que puede usar con Application Auto Scaling.

Creación del roles vinculados a servicios (automático)

No necesita crear manualmente un rol vinculado a servicios. Application Auto Scaling; crea el rol vinculado al servicio correspondiente por usted cuando llama a RegisterScalableTarget. Por ejemplo, si configura el escalado automático para un servicio de Amazon ECS, Application Auto Scaling crea el rol AWSServiceRoleForApplicationAutoScaling_ECSService.

Creación del roles vinculados a servicios (manual)

Para crear el rol vinculado al servicio, puede usar la consola de IAM o la API de IAM. AWS CLI Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Para crear un rol vinculado a un servicio (AWS CLI)

Utilice el siguiente comando create-service-linked-roleCLI para crear el rol vinculado al servicio Application Auto Scaling. En la solicitud, especifique el nombre del servicio “prefijo”.

Para buscar el prefijo de nombre de servicio, consulte la información acerca de la entidad de seguridad de servicio del rol vinculado al servicio para cada servicio en la sección AWS servicios que puede usar con Application Auto Scaling. El nombre del servicio y la entidad de seguridad de servicio comparten el mismo prefijo. Por ejemplo, para crear el rol AWS Lambda vinculado al servicio, utilice. lambda.application-autoscaling.amazonaws.com

aws iam create-service-linked-role --aws-service-name prefix.application-autoscaling.amazonaws.com

Edición de roles vinculados a servicios

En el caso de los roles vinculados a servicios creados por Application Auto Scaling, solo puede editar sus descripciones. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de los roles vinculados a servicios

Si ya no utiliza Application Auto Scaling con un servicio compatible, le recomendamos que elimine el rol vinculado al servicio correspondiente.

Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos de AWS relacionados. De este modo, evitará también que pueda revocar por accidente los permisos de Application Auto Scaling para los recursos. Para obtener más información, consulte la documentación del recurso escalable. Por ejemplo, para eliminar un servicio de Amazon ECS, consulte Eliminación de un servicio en la Guía del desarrollador de servicio del contenedor elástico Amazon.

Puede utilizar IAM para eliminar un rol vinculado al servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Después de eliminar un rol vinculado a un servicio, Application Auto Scaling crea de nuevo el rol si se llama a RegisterScalableTarget.

Regiones admitidas de roles vinculados al servicio necesarios para Application Auto Scaling

Application Auto Scaling admite el uso de funciones vinculadas al servicio en todas las AWS regiones en las que el servicio está disponible.

Referencia del ARN del rol vinculado al servicio

Servicio ARN
AppStream 2.0 arn:aws:iam::012345678910:role/aws-service-role/appstream.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_AppStreamFleet
Aurora arn:aws:iam::012345678910:role/aws-service-role/rds.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_RDSCluster
Comprehend arn:aws:iam::012345678910:role/aws-service-role/comprehend.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_ComprehendEndpoint
DynamoDB arn:aws:iam::012345678910:role/aws-service-role/dynamodb.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_DynamoDBTable
ECS arn:aws:iam::012345678910:role/aws-service-role/ecs.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_ECSService
ElastiCache arn:aws:iam::012345678910:role/aws-service-role/elasticache.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_ElastiCacheRG
Keyspaces arn:aws:iam::012345678910:role/aws-service-role/cassandra.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_CassandraTable
Lambda arn:aws:iam::012345678910:role/aws-service-role/lambda.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_LambdaConcurrency
MSK arn:aws:iam::012345678910:role/aws-service-role/kafka.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_KafkaCluster
Neptune arn:aws:iam::012345678910:role/aws-service-role/neptune.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_NeptuneCluster
SageMaker arn:aws:iam::012345678910:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint
Spot Fleets arn:aws:iam::012345678910:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest
Recursos personalizados arn:aws:iam::012345678910:role/aws-service-role/custom-resource.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_CustomResource
nota

Puedes especificar el ARN de un rol vinculado a un servicio para la RoleARN propiedad de un AWS::ApplicationAutoScaling::ScalableTargetrecurso en tus plantillas de AWS CloudFormation pila, incluso si el rol vinculado al servicio especificado aún no existe. Application Auto Scaling crea automáticamente el rol para usted.