Uso de roles para Client VPN - AWS Client VPN
Permisos de roles vinculados a servicios en Client VPNCreación de un rol vinculado a servicios para Client VPNEdición de roles vinculados a servicios en Client VPNEliminación de roles vinculados a servicios en Client VPNRegiones admitidas para los roles vinculados a un servicio de Client VPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles para Client VPN

AWS Client VPN utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Client VPN. Los roles vinculados a servicios están predefinidos por Client VPN e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de Client VPN porque ya no tendrá que agregar manualmente los permisos necesarios. Client VPN define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Client VPN puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar una función vinculada a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Client VPN, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-linked roles (Roles vinculados a servicios). Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios en Client VPN

Client VPN utiliza el rol vinculado a servicios denominado AWSServiceRoleForClientVPN: permite a Client VPN crear y gestionar recursos relacionados con las conexiones de Client VPN.

El rol vinculado al servicio AWSServiceRoleForClientVPN confía en el siguiente servicio para que asuma el rol:

  • clientvpn.amazonaws.com

La política de permisos llamada ClientVPNServiceRolePolicy permite a Client VPN realizar las siguientes acciones en los recursos especificados:

  • Acción: ec2:CreateNetworkInterface en Resource: "*"

  • Acción: ec2:CreateNetworkInterfacePermission en Resource: "*"

  • Acción: ec2:DescribeSecurityGroups en Resource: "*"

  • Acción: ec2:DescribeVpcs en Resource: "*"

  • Acción: ec2:DescribeSubnets en Resource: "*"

  • Acción: ec2:DescribeInternetGateways en Resource: "*"

  • Acción: ec2:ModifyNetworkInterfaceAttribute en Resource: "*"

  • Acción: ec2:DeleteNetworkInterface en Resource: "*"

  • Acción: ec2:DescribeAccountAttributes en Resource: "*"

  • Acción: ds:AuthorizeApplication en Resource: "*"

  • Acción: ds:DescribeDirectories en Resource: "*"

  • Acción: ds:GetDirectoryLimits en Resource: "*"

  • Acción: ds:UnauthorizeApplication en Resource: "*"

  • Acción: logs:DescribeLogStreams en Resource: "*"

  • Acción: logs:CreateLogStream en Resource: "*"

  • Acción: logs:PutLogEvents en Resource: "*"

  • Acción: logs:DescribeLogGroups en Resource: "*"

  • Acción: acm:GetCertificate en Resource: "*"

  • Acción: acm:DescribeCertificate en Resource: "*"

  • Acción: iam:GetSAMLProvider en Resource: "*"

  • Acción: lambda:GetFunctionConfiguration en Resource: "*"

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a servicios para Client VPN

No necesita crear manualmente un rol vinculado a servicios. Cuando se crea el primer punto de conexión de Client VPN en la cuenta con la AWS Management Console, la AWS CLI y la API de AWS, Client VPN crea el rol vinculado a servicios para usted.

Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando se crea el primer punto de conexión de Client VPN en la cuenta, Client VPN crea el rol vinculado a servicios para usted de nuevo.

Edición de roles vinculados a servicios en Client VPN

Client VPN no permite editar el rol AWSServiceRoleForClientVPN vinculado a servicios. Después de crear un rol vinculado a servicios, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de roles vinculados a servicios en Client VPN

Si ya no tiene que utilizar Client VPN, le recomendamos que elimine el rol vinculado a servicios AWSServiceRoleForClientVPN.

Primero debe eliminar los recursos de Client VPN relacionados. Esto garantiza que no pueda eliminar accidentalmente el permiso para obtener acceso a los recursos.

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar los roles vinculados a servicios. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a un servicio de Client VPN

Client VPN admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte Puntos de enlace y regiones de AWS.