Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de roles vinculados a servicios para Amazon EFS
Amazon EFS utiliza un rol AWS Identity and Access Management vinculado a un [servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). El rol vinculado a un servicio de Amazon EFS es un tipo único de rol de IAM que está vinculado directamente a Amazon EFS. La función predefinida vinculada al servicio de Amazon EFS incluye los permisos que el servicio necesita para llamar a otros Servicios de AWS en su nombre.
Un rol vinculado a servicios simplifica la configuración de Amazon EFS porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon EFS define los permisos de sus roles vinculados a servicios y solo Amazon EFS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios de Amazon EFS después de eliminar sus sistemas de archivos de Amazon EFS. De esta forma, se protegen los recursos de Amazon EFS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
La función vinculada al servicio permite ver todas las llamadas a la API. AWS CloudTrail Esta ayuda a monitorizar y auditar los requisitos, ya que se puede hacer un seguimiento de todas las acciones que Amazon EFS realiza en su nombre. Para obtener más información, consulte [Entradas de registro para roles vinculados al servicio EFS](logging-using-cloudtrail.md#efs-service-linked-role-ct).
Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Permisos de roles vinculados a un servicio para Amazon EFS.
Amazon EFS utiliza el rol vinculado al servicio denominado **AWSServiceRoleForAmazonElasticFileSystem**para permitir que Amazon EFS llame y gestione AWS los recursos en nombre de sus sistemas de archivos de EFS.
El rol AWSService RoleForAmazonElasticFileSystem vinculado al servicio confía en que asumirá el `elasticfilesystem.amazonaws.com` rol.
La política de permisos del rol permite que Amazon EFS realice las acciones incluidas en el JSON de definición de política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"backup-storage:MountCapsule",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Effect": "Allow",
"Action": [
"backup:CreateBackupVault",
"backup:PutBackupVaultAccessPolicy"
],
"Resource": [
"arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
]
},
{
"Effect": "Allow",
"Action": [
"backup:CreateBackupPlan",
"backup:CreateBackupSelection"
],
"Resource": [
"arn:aws:backup:*:*:backup-plan:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"backup.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "backup.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:CreateReplicationConfiguration",
"elasticfilesystem:DescribeReplicationConfigurations",
"elasticfilesystem:DeleteReplicationConfiguration",
"elasticfilesystem:ReplicationRead",
"elasticfilesystem:ReplicationWrite"
],
"Resource": "*"
}
]
}
```
------
**nota**
Debe configurar manualmente los permisos de IAM para AWS KMS crear un nuevo sistema de archivos EFS que esté cifrado en reposo. Para obtener más información, consulte [Cifrado de datos en reposo](encryption-at-rest.md).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado a un servicio para Amazon EFS
En la mayoría de los casos, no es necesario crear manualmente un rol vinculado al servicio. Al crear destinos de montaje o una configuración de replicación para su sistema de archivos EFS en la Consola de administración de AWS AWS CLI, la o la AWS API, Amazon EFS crea automáticamente la función vinculada al servicio.
Además, si lo elimina manualmente y service-linked-role, a continuación, necesita volver a crearlo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un destino de montaje o una configuración de replicación para el sistema de archivos de EFS, Amazon EFS crea el rol vinculado al servicio en su nombre.
Sin embargo, si Amazon EFS no crea la función vinculada a servicios service-linked-role o si ha empezado a utilizarla antes de que admitiera funciones vinculadas a servicios, puede crear manualmente la función vinculada a servicios. Consulte las instrucciones en [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) en la *Guía del usuario de IAM*.
## Edición de un rol vinculado a un servicio para Amazon EFS
Amazon EFS no le permite editar el rol vinculado a un servicio de `AWSServiceRoleForAmazonElasticFileSystem`. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Actualizar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a un servicio para Amazon EFS
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente. Para obtener más información, consulte [Limpie los recursos y proteja su AWS cuenta](getting-started.md#gs-step-five-cleanup).
**nota**
Si el servicio de Amazon EFS utiliza el rol al intentar eliminar los recursos, se podría producir un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. AWSService RoleForAmazonElasticFileSystem Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) en la *Guía del usuario de IAM*.
## Regiones admitidas para los roles vinculados al servicio de Amazon EFS
Amazon EFS admite el uso de funciones vinculadas a servicios en todos los Regiones de AWS lugares en los que el servicio esté disponible. Para obtener más información, consulte [Puntos de conexión de servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) en la *Guía del usuario de Referencia general de AWS *.