Uso de roles vinculados a servicios de AWS Service Catalog - AWS Service Catalog
Permisos de roles vinculados a servicios de AWSServiceRoleForServiceCatalogSyncPermisos de roles vinculados a servicios de AWSServiceRoleForServiceCatalogOrgsDataSyncModificación de un rol vinculado a servicios de AWS Service CatalogEliminación de un rol vinculado a un servicio de AWS Service CatalogRegiones admitidas para los roles vinculados a un servicio de AWS Service Catalog

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios de AWS Service Catalog

AWS Service Catalog usa roles vinculados al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Service Catalog Los roles vinculados al servicio están predefinidos AWS Service Catalog e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Un rol vinculado a un servicio facilita la configuración AWS Service Catalog , ya que no es necesario añadir manualmente los permisos necesarios. AWS Service Catalog define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Service Catalog puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Service Catalog recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Roles vinculados a servicios. Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de AWSServiceRoleForServiceCatalogSync

AWS Service Catalog puede usar el rol vinculado al servicio denominado AWSServiceRoleForServiceCatalogSync: este rol vinculado al servicio es necesario para AWS Service Catalog poder usar CodeConnections y crear, actualizar y describir los artefactos de aprovisionamiento para un producto. AWS Service Catalog

El rol vinculado al servicio AWSServiceRoleForServiceCatalogSync depende de los siguientes servicios para asumir el rol:

  • sync.servicecatalog.amazonaws.com

La política de permisos de roles denominada AWSServiceCatalogSyncServiceRolePolicypermite AWS Service Catalog realizar las siguientes acciones en los recursos especificados:

  • Acción: Connection en CodeConnections

  • Acción: Create, Update, and Describe activada ProvisioningArtifact para un AWS Service Catalog producto

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol AWSServiceRoleForServiceCatalogSync vinculado al servicio

No es necesario crear manualmente el rol AWSServiceRoleForServiceCatalogSync vinculado al servicio. AWS Service Catalog crea automáticamente el rol vinculado al servicio cuando lo estableces CodeConnections en la AWS Management Console, la o la API AWS CLI. AWS

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizabas el AWS Service Catalog servicio antes del 18 de noviembre de 2022, cuando comenzó a admitir funciones vinculadas al servicio, entonces AWS Service Catalog creaste la AWSServiceRoleForServiceCatalogSync función en tu cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando lo estableces CodeConnections, vuelve a AWS Service Catalog crear el rol vinculado al servicio para ti.

También puedes usar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso de los productos sincronizados. AWS Service Catalog En la API AWS CLI o en la AWS API, cree una función vinculada a un servicio con el nombre del servicio. sync.servicecatalog.amazonaws.com Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Permisos de roles vinculados a servicios de AWSServiceRoleForServiceCatalogOrgsDataSync

AWS Service Catalog puede usar el rol vinculado al servicio denominado AWSServiceRoleForServiceCatalogOrgsDataSync: este rol vinculado al servicio es necesario para que AWS Service Catalog las organizaciones estén sincronizadas con él. AWS Organizations

El rol vinculado al servicio AWSServiceRoleForServiceCatalogOrgsDataSync depende de los siguientes servicios para asumir el rol:

  • orgsdatasync.servicecatalog.amazonaws.com

El rol AWSServiceRoleForServiceCatalogOrgsDataSync vinculado al servicio requiere que utilice la siguiente política de confianza además de la política administrada AWSServiceCatalogOrgsDataSyncServiceRolePolicy:


{ 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Effect": "Allow", 
      "Principal": { 
        "Service": "orgsdatasync.servicecatalog.amazonaws.com" 
      }, 
      "Action": "sts:AssumeRole" 
    } 
  ] 
}

La política de permisos de roles denominada AWSServiceCatalogOrgsDataSyncServiceRolePolicypermite AWS Service Catalog realizar las siguientes acciones en los recursos especificados:

  • Acción: DescribeAccount, DescribeOrganization y ListAWSServiceAccessForOrganization en Organizations accounts

  • Acción: ListAccounts, ListChildren y ListParent en Organizations accounts

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol AWSServiceRoleForServiceCatalogOrgsDataSync vinculado al servicio

No es necesario crear manualmente el rol AWSServiceRoleForServiceCatalogOrgsDataSync vinculado al servicio. AWS Service Catalog considera su acción de habilitar Compartiendo con AWS Organizations o Uso compartido de carteras dar permiso AWS Service Catalog para crear una SLR en segundo plano en su nombre.

AWS Service Catalog te crea automáticamente el rol vinculado al servicio cuando lo solicitas EnableAWSOrganizationsAccess o CreatePortfolioShare en la AWS Management Console, la o la AWS CLI API. AWS

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al pedir EnableAWSOrganizationsAccess o CreatePortfolioShare, AWS Service Catalog se encarga de volver crear automáticamente la función vinculada al servicio.

Modificación de un rol vinculado a servicios de AWS Service Catalog

AWS Service Catalog no le permite editar los roles AWSServiceRoleForServiceCatalogSync o los roles vinculados al AWSServiceRoleForServiceCatalogOrgsDataSync servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de AWS Service Catalog

Puede utilizar la consola de IAM, la AWS CLI o la AWS API para eliminar manualmente la AWSServiceRoleForServiceCatalogSync AWSServiceRoleForServiceCatalogOrgsDataSync SLR. Para ello, primero debe eliminar manualmente todos los recursos que utilizan la función vinculada al servicio (por ejemplo, cualquier AWS Service Catalog producto que esté sincronizado con un repositorio externo) y, a continuación, la función vinculada al servicio se puede eliminar manualmente.

Regiones admitidas para los roles vinculados a un servicio de AWS Service Catalog

AWS Service Catalog admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de enlace y regiones de AWS.

Nombres de las regiones Identidad de la región Support en AWS Service Catalog
Este de EE. UU. (Norte de Virginia) us-east-1
Este de EE. UU. (Ohio) us-east-2
Oeste de EE. UU. (Norte de California) us-west-1
Oeste de EE. UU. (Oregón) us-west-2
África (Ciudad del Cabo) af-south-1
Asia-Pacífico (Hong Kong) ap-east-1
Asia-Pacífico (Yakarta) ap-southeast-3
Asia Pacífico (Mumbai) ap-south-1
Asia Pacífico (Osaka) ap-northeast-3
Asia Pacífico (Seúl) ap-northeast-2
Asia-Pacífico (Singapur) ap-southeast-1
Asia Pacífico (Sídney) ap-southeast-2
Asia-Pacífico (Tokio) ap-northeast-1
Canadá (centro) ca-central-1
Europa (Fráncfort) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2
Europa (Milán) eu-south-1
Europa (París) eu-west-3
Europa (Estocolmo) eu-north-1
Medio Oriente (Baréin) me-south-1
América del Sur (São Paulo) sa-east-1
AWS GovCloud (Este de EE. UU.) us-gov-east-1 No
AWS GovCloud (Estados Unidos-Oeste) us-gov-west-1 No