Funciones vinculadas al servicio para AWS Direct Connect - AWS Direct Connect
Permisos de rol vinculados al servicio para AWS Direct ConnectCrear un rol vinculado a un servicio para AWS Direct ConnectEdición de un rol vinculado a un servicio para AWS Direct ConnectEliminar un rol vinculado a un servicio para AWS Direct ConnectRegiones compatibles con los roles vinculados a un AWS Direct Connect servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Funciones vinculadas al servicio para AWS Direct Connect

AWS Direct Connect usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado a un servicio es un tipo único de IAM rol al que se vincula directamente. AWS Direct Connect Los roles vinculados al servicio están predefinidos AWS Direct Connect e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.

Un rol vinculado a un servicio facilita la configuración AWS Direct Connect , ya que no es necesario añadir manualmente los permisos necesarios. AWS Direct Connect define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Direct Connect puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Direct Connect recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios con los que funcionan IAM y busque los servicios con los que se indica en la columna Función vinculada a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de rol vinculados al servicio para AWS Direct Connect

AWS Direct Connect usa un rol vinculado a un servicio denominado. AWSServiceRoleForDirectConnect Esto permite AWS Direct Connect recuperar los MACSec secretos almacenados AWS Secrets Manager en su nombre.

El rol vinculado al servicio AWSServiceRoleForDirectConnect depende de los siguientes servicios para asumir el rol:

  • directconnect.amazonaws.com

El rol vinculado al servicio AWSServiceRoleForDirectConnect utiliza la política administrada de AWSDirectConnectServiceRolePolicy.

Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para que el rol AWSServiceRoleForDirectConnect vinculado al servicio se cree correctamente, la IAM identidad que utilice debe tener los AWS Direct Connect permisos necesarios. Para conceder los permisos necesarios, adjunte la siguiente política a la IAM identidad.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "directconnect.amazonaws.com"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:GetRole",
            "Effect": "Allow",
            "Resource": "*"
       }
    ]
}

Para obtener más información, consulte los permisos de funciones vinculadas a un servicio en la Guía del IAMusuario.

Crear un rol vinculado a un servicio para AWS Direct Connect

No es necesario crear manualmente un rol vinculado a un servicio. AWS Direct Connect crea el rol vinculado al servicio automáticamente. Al ejecutar el associate-mac-sec-key comando, AWS crea un rol vinculado al servicio que permite AWS Direct Connect recuperar los MACsec secretos almacenados en su nombre AWS Secrets Manager en el AWS Management Console, el o el. AWS CLI AWS API

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Apareció un nuevo rol en mi IAM cuenta.

Si eliminas este rol vinculado al servicio y luego necesitas volver a crearlo, puedes usar el mismo proceso para volver a crear el rol en tu cuenta. AWS Direct Connect vuelve a crear el rol vinculado al servicio para ti.

También puede usar la IAM consola para crear un rol vinculado a un servicio con el caso de uso de AWS Direct Connect. En AWS CLI o en AWS API, cree un rol vinculado a un servicio con el nombre del servicio. directconnect.amazonaws.com Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario. IAM Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Edición de un rol vinculado a un servicio para AWS Direct Connect

AWS Direct Connect no permite editar el rol vinculado al AWSServiceRoleForDirectConnect servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminar un rol vinculado a un servicio para AWS Direct Connect

No es necesario eliminar manualmente el rol de AWSServiceRoleForDirectConnect. Al eliminar el rol vinculado al servicio, debe eliminar todos los recursos asociados que están almacenados en el servicio AWS Secrets Manager web. El AWS Management Console AWS CLI, el o el AWS API AWS Direct Connect limpian los recursos y eliminan automáticamente el rol vinculado al servicio.

También puede usar la IAM consola para eliminar el rol vinculado al servicio. Para ello, primero debe eliminar de forma manual los recursos del rol vinculado al servicio y luego podrá eliminarlo.

nota

Si el AWS Direct Connect servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En ese caso, espere unos minutos e intente de nuevo la operación.

Para eliminar AWS Direct Connect los recursos utilizados por el AWSServiceRoleForDirectConnect

  1. Elimine la asociación entre todas MACsec las claves y conexiones. Para obtener más información, consulte Elimine la asociación entre una clave MACsec secreta y una AWS Direct Connect conexión

  2. Elimine la asociación entre todas MACsec las teclas yLAGs. Para obtener más información, consulte Eliminar la asociación entre una clave MACsec secreta y un AWS Direct Connect punto final LAG

Para eliminar manualmente el rol vinculado al servicio mediante IAM

Utilice la IAM consola AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForDirectConnect servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM

Regiones compatibles con los roles vinculados a un AWS Direct Connect servicio

AWS Direct Connect admite el uso de funciones vinculadas al servicio en todos los Regiones de AWS lugares donde esté disponible la función de MAC seguridad. Para obtener más información, consulte Ubicaciones de AWS Direct Connect.