Roles vinculados a servicios en clústeres elásticos - Amazon DocumentDB
Permisos de rol vinculado a servicios para clústeres elásticos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Roles vinculados a servicios en clústeres elásticos

Los clústeres elásticos de Amazon DocumentDB utilizan funciones vinculadas a AWS Identity and Access Management servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a los clústeres elásticos de Amazon DocumentDB. Los clústeres elásticos de Amazon DocumentDB predefinen las funciones vinculadas a servicios e incluyen todos los permisos que el servicio necesita para llamar a AWS otros servicios en su nombre.

Un rol vinculado a servicios simplifica la configuración de Amazon DocumentDB porque ya no tendrá que agregar manualmente los permisos necesarios. Los clústeres elásticos de Amazon DocumentDB definen los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo los clústeres elásticos de Amazon DocumentDB pueden asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM. Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma, se protegen los recursos de los clústeres elásticos de Amazon DocumentDB, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Rol vinculado a servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de rol vinculado a servicios para clústeres elásticos

Los clústeres elásticos de Amazon DocumentDB utilizan el rol vinculado al servicio denominado para permitir que los clústeres elásticos de AWS ServiceRoleForDocDB-Elastic Amazon DocumentDB llamen a los AWS servicios en nombre de sus clústeres.

Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonDocDB-ElasticServiceRolePolicy que le otorga permisos para operar en su cuenta. La política de permisos del rol permite que los clústeres elásticos de Amazon DocumentDB realicen las siguientes acciones en los recursos especificados:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/DocDB-Elastic"
                    ]
                }
            }
        }
    ]
}
nota

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Si aparece el siguiente mensaje de error: “No se puede crear el recurso. Verifique que tiene permiso para crear el rol vinculado al servicio. De lo contrario, espere y vuelva a intentarlo más tarde”., asegúrese de tener habilitados los siguientes permisos:


{
"Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
    "Condition": {
"StringLike": {
"iam:AWSServiceName":"docdb-elastic.amazonaws.com"
        }
    }
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de la gestión de identidades y accesos de AWS .

Creación de un rol vinculado a servicio para los clústeres elásticos de Amazon DocumentDB

No necesita crear manualmente un rol vinculado a servicios. Cuando crea una instancia de base de datos, los clústeres elásticos de Amazon DocumentDB vuelven a crear por usted el rol vinculado al servicio.

Edición de un rol vinculado a servicio para los clústeres elásticos de Amazon DocumentDB

Los clústeres elásticos de Amazon DocumentDB no permiten editar el rol vinculado a servicios de AWS ServiceRoleForDocDB-Elastic. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Edición de roles vinculados a servicios en la Guía del usuario de la gestión de identidades y accesos de AWS .

Eliminación de un rol vinculado a servicio para los clústeres elásticos de Amazon DocumentDB

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los clústeres para poder eliminar el rol vinculado al servicio.

Limpiar un rol vinculado a servicios

Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.

Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM:

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM.

  2. En el panel de navegación de la consola de IAM, elija Roles (Roles). A continuación, seleccione el nombre (no la casilla de verificación) del rol de AWS ServiceRoleForDocDB-Elastic.

  3. En la página Summary (Resumen) del rol seleccionado, elija la pestaña Access Advisor (Acceso a Advisor).

nota

Si no está seguro de si los clústeres elásticos de Amazon DocumentDB utilizan el rol AWS ServiceRoleForDocDB-Elastic, puede intentar eliminar el rol para comprobarlo. Si el servicio utiliza la función, se produce un error en la eliminación y puede ver Regiones de AWS dónde se utiliza la función. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a servicios.

Si desea eliminar el rol AWS ServiceRoleForDocDB-Elastic, primero debe eliminar todos sus clústeres.

Eliminación de todos los clústeres

Para eliminar un clúster en la consola de Amazon DocumentDB:

  1. Inicie sesión en la AWS Management Console de Amazon DocumentDB y ábrala.

  2. En el panel de navegación, seleccione Clusters (Clústeres).

  3. Elija el clúster que desea eliminar.

  4. En Actions (Acciones), seleccione Delete (Eliminar).

  5. Si aparece el mensaje ¿Crear instantánea final?, elija o No.

  6. Si eligió Yes (Sí) en el paso anterior, en Final snapshot name (Nombre de instantánea final) escriba el nombre de la instantánea final.

  7. Elija Eliminar.

nota

Puede usar la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios AWS ServiceRoleForDocDB-Elastic. Para obtener más información, consulte Eliminación de roles vinculados a servicios en la Guía del usuario de la gestión de identidades y accesos de AWS .