Función vinculada al servicio de Global Accelerator - AWS Global Accelerator
Permisos de roles vinculados a servicios para Global AcceleratorCreación del rol vinculado a un servicio de Global AcceleratorEdición de la función vinculada al servicio de Global AcceleratorEliminación del rol vinculado al servicio de Global AcceleratorActualizaciones de roles vinculados a serviciosRegiones admitidas para roles vinculados a servicios de Global Accelerator

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Función vinculada al servicio de Global Accelerator

El AWS Global Accelerator de AWS utiliza una gestión de acceso e identidad de AWS (IAM).Rol vinculado al servicio de. Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a un servicio. Las funciones vinculadas a servicios son predefinidos por el servicio e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Global Accelerator usa la siguiente función vinculada al servicio de IAM:

  • AWSServiceRoleForGlobalAccelerator: Global Accelerator utiliza esta función para permitir que Global Accelerator cree y administre los recursos necesarios para la preservación de la dirección IP del cliente.

Global Accelerator crea automáticamente un rol llamado AWSServiceRoleForGlobalAccelerator cuando el rol se requiere por primera vez para admitir una operación de la API de Global Accelerator. El rol AWSServiceRoleForGlobalAccelerator permite a Global Accelerator crear y administrar los recursos necesarios para la preservación de la dirección IP del cliente. Este rol es necesario para utilizar aceleradores en Global Accelerator. El ARN del rol AWSServiceRoleForGlobalAccelerator tiene este aspecto:

arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator

Los roles vinculados a servicios simplifican la configuración y el uso de Global Accelerator porque ya no tendrá que agregar manualmente los permisos necesarios. Global Accelerator define los permisos de su rol vinculado a servicio y solo Global Accelerator puede asumir estos roles. Los permisos definidos incluyen la política de confianza y la política de permisos. La política de permisos no se puede asociar a ninguna otra entidad de IAM.

Debe eliminar los recursos de Global Accelerator asociados para poder eliminar un rol vinculado a servicio. Esto ayuda a proteger sus recursos de Global Accelerator al asegurarse de que no elimina un rol vinculado a un servicio que sigue siendo necesario para obtener acceso a los recursos activos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que tienen en la columna Rol vinculado a servicio.

Permisos de roles vinculados a servicios para Global Accelerator

Global Accelerator usa un rol vinculado a un servicio denominadoAWSServiceRoleForGlobalAccelerator. En las siguientes secciones se describen los permisos de la función.

Permisos de roles vinculados a servicios

Esta función vinculada a servicios permite a Global Accelerator administrar las interfaces de red elásticas EC2 y los grupos de seguridad, así como ayudar a diagnosticar errores.

El rol vinculado al servicio AWSServiceRoleForGlobalAccelerator confía en el siguiente servicio para asumir el rol:

  • globalaccelerator.amazonaws.com

La política de permisos del rol permite que Global Accelerator realice las siguientes acciones en los recursos especificados, tal y como se muestra en la política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) eliminar el rol vinculado al servicio de Global Accelerator. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol vinculado a un servicio de Global Accelerator

No es necesario crear manualmente el rol vinculado al servicio para Global Accelerator. El servicio crea automáticamente el rol automáticamente la primera vez que se crea un acelerador. Si elimina sus recursos de Global Accelerator y elimina el rol vinculado a un servicio, el servicio volverá a crear el rol automáticamente al crear un nuevo acelerador.

Edición de la función vinculada al servicio de Global Accelerator

Acelerador global no permite editar el rol vinculado al servicio AWSServiceRoleForGlobalAccelerator. Una vez que el servicio ha creado un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción de un rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación del rol vinculado al servicio de Global Accelerator

Si ya no tiene que utilizar el acelerador global, le recomendamos que elimine el rol vinculado al servicio. De esta forma no tendrá entidades no utilizadas que no se monitoricen ni mantengan de forma activa. Sin embargo, debe limpiar los recursos de Global Accelerator de la cuenta antes de poder eliminar manualmente los roles.

Después de haber desactivado y eliminado los aceleradores de, puede eliminar el rol vinculado al servicio. Para obtener más información acerca de la eliminación de aceleradores, consulte Creación o actualización de un acelerador estándar.

nota

Si ha deshabilitado y eliminado sus aceleradores pero el acelerador global no ha finalizado la actualización, la eliminación del rol vinculado a servicio puede dar un error. En tal caso, espere unos minutos y realice de nuevo los pasos de eliminación de roles vinculados a servicios.

Para eliminar manualmente el rol vinculado al servicio AWSServiceRoleForGlobalAccelerator

  1. Inicie sesión en la consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles. A continuación, seleccione la casilla junto al nombre del rol que desea eliminar, no el nombre ni la fila.

  3. En Role actions (Acciones de rol) en la parte superior de la página, elija Delete role (Eliminar rol).

  4. En el cuadro de diálogo de confirmación, revise los datos del último acceso al servicio, que muestra cuándo cada uno de los roles seleccionados tuvo acceso a un servicio de AWS por última vez. Esto le ayuda a confirmar si el rol está actualmente activo. Si desea continuar, seleccione Yes, Delete para enviar la solicitud de eliminación del rol vinculado al servicio.

  5. Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Como el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, dicha tarea puede realizarse correctamente o fallar después de que envía la solicitud de eliminación. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Actualizaciones de la función vinculada al servicio del Acelerador global (una política administrada por AWS)

Ver detalles acerca de las actualizaciones de la función vinculada al servicio desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en AWS Global AcceleratorHistorial de revisión(Se ha creado el certificado).

Cambio Descripción Fecha

AWSServiceRoleForGlobalAccelerator— Actualización de la política

Global Accelerator agregó un nuevo permiso para ayudar a Global Accelerator a diagnosticar errores.

Utiliza Global Acceleratorec2:DescribeRegionspara determinar la región de AWS en la que se encuentra un cliente, lo que puede ayudar a Global Accelerator a solucionar errores.

 18 de mayo de 2021

Global Accelerator comenzó el seguimiento de los cambios

Global Accelerator comenzó a realizar el seguimiento de los cambios en sus políticas administradas de AWS.

 18 de mayo de 2021

Regiones admitidas para roles vinculados a servicios de Global Accelerator

El acelerador global admite el uso de roles vinculados a servicios en las regiones de AWS en las que se admite el acelerador global.

Para obtener una lista de las regiones de AWS en las que actualmente se admiten el acelerador global y otros servicios, consulte laTabla de regiones de AWS.