Permisos de roles vinculados a servicios para AWS Config Crear un rol vinculado a servicios para AWS Config Edición de un rol vinculado a un servicio para AWS Config Eliminar un rol vinculado a un servicio para AWS Config

Usar roles vinculados a servicios en AWS Config

AWS Config utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a AWS Config. Las funciones vinculadas a servicios están predefinidas por AWS Config e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Con un rol vinculado a servicios, resulta más sencillo configurar AWS Config, porque no es preciso agregar los permisos necesarios manualmente. AWS Config define los permisos de los roles vinculados con su propio servicio y, a menos que esté definido de otra manera, solo AWS Config puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado a un servicio. Seleccione una opción Sí con un enlace para ver la documentación relativa al rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para AWS Config

AWS Config usa el rol vinculado al servicio llamado AWSServiceRoleForConfig: AWS Config utiliza este rol vinculado a servicios para llamar a otros servicios de AWS en su nombre. Para ver las actualizaciones más recientes, consulte Actualizaciones de AWS Config para las políticas administradas de AWS.

El rol vinculado al servicio AwsServiceRoleForConfig confía en que el servicio config.amazonaws.com asumirá el rol.

La política de permisos para el rol AwsServiceRoleForConfig contiene permisos de solo lectura y escritura para los recursos de AWS Config y permisos de solo lectura para recursos en otros servicios que admite AWS Config. Para ver la política administrada AwsServiceRoleForConfig, consulte Políticas administradas de AWS para AWS Config.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Para utilizar un rol vinculado a servicios con AWS Config, debe configurar permisos en su bucket de Amazon S3 y el tema de Amazon SNS. Para obtener más información, consulte Permisos necesarios para el bucket de Amazon S3 cuando se utilizan roles vinculados a servicios, Permisos necesarios para la clave de AWS KMS cuando se utilizan roles vinculados a servicios (entrega de buckets de S3) y Permisos necesarios para el tema de Amazon SNS cuando se utilizan roles vinculados a servicios.

Crear un rol vinculado a servicios para AWS Config

En la CLI de IAM o la API de IAM, cree un rol vinculado a servicio con el nombre de servicio config.amazonaws.com. Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Edición de un rol vinculado a un servicio para AWS Config

AWS Config no permite editar el rol vinculado al servicio AWSServiceRoleForConfig. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM..

Eliminar un rol vinculado a un servicio para AWS Config

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio AWS Config está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar recursos de AWS Config utilizados por AWSServiceRoleForConfig

Compruebe que no haya ConfigurationRecorders que estén utilizando el rol vinculado al servicio. Puede utilizar la consola de AWS Config para detener el registro de configuración. Para detener la grabación, en Recording is on (La grabación está activada), elija Turn off (Desactivar).

Puede eliminar el ConfigurationRecorder mediante la API de AWS Config. Para eliminarlo, utilice el comandodelete-configuration-recorder.



        $ aws configservice delete-configuration-recorder --configuration-recorder-name default

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado al servicio AWSServiceRoleForConfig. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solución de problemas

Respuesta frente a incidencias