Uso de roles vinculados a servicios de AWS Outposts - AWS Outposts
Permisos de roles vinculados a servicios de AWS OutpostsCreación de un rol vinculado a un servicio de AWS OutpostsModificación de un rol vinculado a servicios de AWS OutpostsEliminación de un rol vinculado a un servicio de AWS OutpostsRegiones admitidas para los roles vinculados a un servicio de AWS Outposts

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios de AWS Outposts

AWS Outposts usa roles vinculados al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Outposts Los roles vinculados al servicio están predefinidos AWS Outposts e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Un rol vinculado a un servicio hace que la configuración sea AWS Outposts más eficiente, ya que no es necesario añadir manualmente los permisos necesarios. AWS Outposts define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Outposts puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos relacionados. Esto protege sus AWS Outposts recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado a un servicio. Seleccione una opción con un enlace para ver la documentación relativa al rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de AWS Outposts

AWS Outposts usa el rol vinculado al servicio denominado AWSServiceRoleForOutposts_ OutPostID: permite a Outposts acceder a los AWS recursos para la conectividad privada en tu nombre. Este rol vinculado a un servicio permite la configuración de la conectividad privada, crea interfaces de red y las conecta a las instancias de punto de conexión del enlace de servicio.

El rol vinculado al servicio AWSServiceRoleForOutposts _ OutpostID confía en que los siguientes servicios asuman el rol:

  • outposts.amazonaws.com

La función vinculada al servicio AWSServiceRoleForOutposts_ OutpostID incluye las siguientes políticas:

  • AWSOutpostsServiceRolePolicy

  • AWSOutpostsPrivateConnectivityPolicy_ OutpostID

La AWSOutpostsServiceRolePolicypolítica es una política de funciones vinculadas al servicio que permite el acceso a AWS los recursos gestionados por. AWS Outposts

Esta política permite AWS Outposts realizar las siguientes acciones en los recursos especificados:

  • Acción: ec2:DescribeNetworkInterfaces en all AWS resources

  • Acción: ec2:DescribeSecurityGroups en all AWS resources

  • Acción: ec2:CreateSecurityGroup en all AWS resources

  • Acción: ec2:CreateNetworkInterface en all AWS resources

La política AWSOutpostsPrivateConnectivityPolicy_ OutpostID permite AWS Outposts realizar las siguientes acciones en los recursos especificados:

  • Acción: ec2:AuthorizeSecurityGroupIngress en all AWS resources that match the following Condition:

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

  • Acción: ec2:AuthorizeSecurityGroupEgress en all AWS resources that match the following Condition:

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

  • Acción: ec2:CreateNetworkInterfacePermission en all AWS resources that match the following Condition:

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

  • Acción: ec2:CreateTags en all AWS resources that match the following Condition:

    { "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio de AWS Outposts

No necesita crear manualmente un rol vinculado a servicios. Cuando configuras la conectividad privada para tu Outpost en AWS Management Console, AWS Outposts crea automáticamente el rol vinculado al servicio.

Para obtener más información, consulte Conectividad privada del enlace de servicio mediante el uso de VPC.

Modificación de un rol vinculado a servicios de AWS Outposts

AWS Outposts no le permite editar la función vinculada al servicio AWSServiceRoleForOutposts _ OutpostID. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM..

Eliminación de un rol vinculado a un servicio de AWS Outposts

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, evitará tener una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el AWS Outposts servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

aviso

Debes eliminar tu Outpost para poder eliminar el rol AWSServiceRoleForOutposts _ OutpostID vinculado al servicio. El siguiente procedimiento elimina su Outpost.

Antes de empezar, asegúrate de que tu Outpost no se comparta con (). AWS Resource Access Manager AWS RAM Para obtener más información, consulte Dejar de compartir un recurso de Outpost compartido.

Para eliminar AWS Outposts los recursos utilizados por AWSServiceRoleForOutposts _ OutpostID

  • Ponte en contacto con AWS Enterprise Support para eliminar tu Outpost.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio AWSServiceRoleForOutposts _ OutpostID. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a un servicio de AWS Outposts

AWS Outposts admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de conexión y cuotas de AWS Outposts.