Uso de roles vinculados a servicios para Acceso verificado

Acceso verificado de AWS utiliza una función de IAM vinculada a un servicio, que es un tipo de función de IAM que está vinculada directamente a un servicio. AWS Verified Access define las funciones vinculadas al servicio para Verified Access e incluyen todos los permisos que el servicio necesita para llamar a otras personas en su nombre. Servicios de AWS

Un rol vinculado a un servicio simplifica la configuración de Acceso verificado porque ya no tendrá que agregar manualmente los permisos necesarios. Acceso verificado define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Acceso verificado puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Permisos de roles vinculados al servicio de Acceso verificado

Verified Access utiliza la función vinculada al servicio denominada AWSServiceRoleForVPCVerifiedAccess para aprovisionar los recursos de su cuenta que son necesarios para utilizar el servicio.

El rol vinculado AWSServiceRoleForVPCVerifiedal servicio de Access confía en los siguientes servicios para asumir el rol:

• verified-access.amazonaws.com

La política de permisos del rol, denominada AWSVPCVerifiedAccessServiceRolePolicy, permite a Verified Access realizar las siguientes acciones en los recursos especificados:

• Acción ec2:CreateNetworkInterface en todas las subredes y grupos de seguridad, así como en todas las interfaces de red con la etiqueta VerifiedAccessManaged=true

• Acción ec2:CreateTags en todas las interfaces de red en el momento de la creación

• Acción ec2:DeleteNetworkInterface en todas las interfaces de red con la etiqueta VerifiedAccessManaged=true

• Acción ec2:ModifyNetworkInterfaceAttribute en todos los grupos de seguridad y en todas las interfaces de red con la etiqueta VerifiedAccessManaged=true

También puede ver los permisos de esta política en la Guía de referencia de políticas AWS gestionadas; consulte AWSVPCVerifiedAccessServiceRolePolicy.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a servicios para Acceso verificado

No necesita crear manualmente un rol vinculado a servicios. Cuando llamas a CreateVerifiedAccessEndpointla AWS Management Console, a la AWS CLI API o a la AWS API, Verified Access crea automáticamente el rol vinculado al servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando vuelves a llamar, Verified Access CreateVerifiedAccessEndpointvuelve a crear el rol vinculado al servicio para ti.

Edición de un rol vinculado a servicios para Acceso verificado

Verified Access no le permite editar el rol vinculado al servicio de AWSServiceRoleForVPCVerifiedAccess. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte la Descripción sobre cómo editar un rol vinculado al servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicios para Acceso verificado

No es necesario eliminar manualmente el rol de AWSServiceRoleForVPCVerifiedAccess. Cuando llamas a DeleteVerifiedAccessEndpointla AWS Management Console, a la AWS CLI API o a la AWS API, Verified Access limpia los recursos y elimina automáticamente la función vinculada al servicio.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio de Access. AWSService RoleFor VPCVerified Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a un servicio de Acceso verificado

Verified Access permite el uso de funciones vinculadas al servicio en todos los Regiones de AWS lugares en los que el servicio esté disponible. Para obtener más información, consulte Puntos de conexión y Regiones de AWS.