Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Usar roles vinculados a servicios para Detective
Amazon Detective utiliza funciones AWS Identity and Access Management vinculadas al servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Detective. Los roles vinculados al servicio están predefinidos por el Detective e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio simplifica la configuración de Detective al evitar que se tengan que agregar manualmente los permisos necesarios. Detective define los permisos de sus roles vinculados al servicio y, salvo que se defina de otro modo, solo Detective puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus recursos de Detective, ya que evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado a servicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de rol vinculado a servicio de Detective
El Detective usa el rol vinculado al servicio denominado AWSServiceRoleForDetective: permite que el Detective acceda a la AWS Organizations información en su nombre.
El rol AWSServiceRoleForDetective vinculado al servicio confía en los siguientes servicios para asumir el rol:
-
detective.amazonaws.com
El rol AWSServiceRoleForDetective vinculado al servicio usa la política administrada. AmazonDetectiveServiceLinkedRolePolicy
Para obtener más información sobre las actualizaciones de la AmazonDetectiveServiceLinkedRolePolicy política, consulta Amazon Detective actualiza las políticas AWS gestionadas. Para recibir alertas automáticas sobre los cambios en esta política, suscríbase a la fuente RSS de la página del historial de documentos del Detective.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Crear un rol vinculado a servicio para Detective
No necesita crear manualmente un rol vinculado a un servicio. Cuando designa la cuenta de administrador de Detective para una organización en la AWS Management Console AWS CLI, la o la AWS API, Detective crea el rol vinculado al servicio para usted.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al designar la cuenta de administrador de Detective de una organización, Detective crea el rol vinculado al servicio en su nombre una vez más.
Editar un rol vinculado a servicio para Detective
Detective no le permite editar el rol AWSServiceRoleForDetective vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminar un rol vinculado a un servicio para Detective
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio Detective está utilizando el rol mientras usted intenta eliminar los recursos, la eliminación podría fallar. Si esto sucede, espere unos minutos y reintente la operación.
Para eliminar los recursos de Detective utilizados por el AWSServiceRoleForDetective
-
Elimine la cuenta de administrador de Detective. Consulte Designación del Detective administrador de una organización.
-
Repita el proceso en cada región en la que haya designado la cuenta de administrador de Detective.
Para eliminar manualmente el rol vinculado al servicio con IAM
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForDetective servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados a servicios de Detective
Detective admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Regiones y puntos de conexión de AWS.
