Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados a servicios para AWS CloudTrail
AWS CloudTrail usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado a un servicio es un tipo único de IAM rol al que se vincula directamente. CloudTrail Los roles vinculados al servicio están predefinidos CloudTrail e incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en tu nombre.
Un rol vinculado a un servicio facilita la configuración CloudTrail , ya que no es necesario añadir manualmente los permisos necesarios. CloudTrail define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo CloudTrail puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.
Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios con los que funcionan IAM y busque los servicios con los que se indica Sí en la columna Función vinculada al servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
Permisos de rol vinculados al servicio para CloudTrail
CloudTrail usa el rol vinculado al servicio denominado AWSServiceRoleForCloudTrail: este rol vinculado al servicio se usa para respaldar los registros de la organización y los almacenes de datos de eventos de la organización.
El rol AWSServiceRoleForCloudTrail vinculado al servicio confía en los siguientes servicios para asumir el rol:
-
cloudtrail.amazonaws.com
Esta función se utiliza para respaldar la creación y la gestión de las rutas CloudTrail organizativas y los almacenes de datos de eventos organizativos de CloudTrail Lake. CloudTrail Para obtener más información, consulte Creación de un registro de seguimiento para una organización.
La CloudTrailServiceRolePolicypolítica asociada a la función permite CloudTrail realizar las siguientes acciones en los recursos especificados:
-
Acciones en todos los CloudTrail recursos:
-
All
-
-
Acciones en todos los AWS Organizations recursos:
-
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization
-
-
Acciones en todos los recursos de Organizations para que el director de CloudTrail servicio enumere los administradores delegados de la organización:
-
organizations:ListDelegatedAdministrators
-
-
Acciones para deshabilitar la federación de Lake en el almacén de datos de eventos de una organización:
-
glue:DeleteTable -
lakeformation:DeRegisterResource
-
Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a un servicio en la Guía del usuario. IAM
Crear un rol vinculado a un servicio para CloudTrail
No necesita crear manualmente un rol vinculado a servicios. Al crear un registro de la organización o un almacén de datos de eventos de la organización, o al añadir un administrador delegado a la CloudTrail consola, o al utilizar la API operación AWS CLI o, se CloudTrail crea automáticamente el rol vinculado al servicio si aún no existe.
Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un registro de la organización o un banco de datos de eventos de la organización, o al añadir un administrador delegado, se vuelve a CloudTrail crear el rol vinculado al servicio para usted.
Editar un rol vinculado a un servicio para CloudTrail
CloudTrail no permite editar el rol vinculado al AWSServiceRoleForCloudTrail servicio. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.
Eliminar un rol vinculado a un servicio para CloudTrail
No es necesario eliminar el rol manualmente. AWSServiceRoleForCloudTrail Si un Cuenta de AWS se elimina de una organización de Organizations, el AWSServiceRoleForCloudTrail rol se elimina automáticamente de esa organización Cuenta de AWS. No puede desconectar ni eliminar políticas del rol AWSServiceRoleForCloudTrail vinculado al servicio en una cuenta de administración de organización sin eliminar la cuenta de la organización.
También puede usar la IAM consola AWS CLI o la AWS API para eliminar manualmente el rol vinculado al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado a servicio y, a continuación, eliminarlo manualmente.
nota
Si el CloudTrail servicio utiliza el rol cuando intentas eliminar los recursos, es posible que no se pueda eliminar. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar un recurso que el rol AWSServiceRoleForCloudTrail está utilizando, puede elegir una de las siguientes opciones:
-
Elimine el Cuenta de AWS de la organización en Organizations.
-
Actualizar el registro de seguimiento para que deje de ser un registro de seguimiento de organización. Para obtener más información, consulte Actualización de una ruta con la CloudTrail consola.
-
Actualice el almacén de datos de eventos para que deje de ser un almacén de datos de eventos de la organización. Para obtener más información, consulte Actualiza un almacén de datos de eventos con la consola.
-
Eliminar el registro de seguimiento. Para obtener más información, consulte Eliminar un rastro con la CloudTrail consola.
-
Elimine el almacén de datos de eventos. Para obtener más información, consulte Elimine un almacén de datos de eventos con la consola.
Para eliminar manualmente el rol vinculado al servicio mediante IAM
Utilice la IAM consola AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForCloudTrail servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM
Regiones compatibles para CloudTrail los roles vinculados al servicio
CloudTrail admite el uso de funciones vinculadas a servicios en todos los Regiones de AWS lugares y CloudTrail Organizaciones disponibles. Para obtener más información, consulte los puntos de conexión de Servicio de AWS en la Referencia general de AWS.
