

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de roles vinculados a servicios para Amazon Neptune
<a name="security-iam-service-linked-roles"></a>

[Amazon Neptune utiliza funciones vinculadas a AWS Identity and Access Management servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Neptune. Neptune predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

**importante**  
Para ciertas características de administración, Amazon Neptune utiliza una tecnología operativa que comparte con Amazon RDS. Esto incluye la *función vinculada a un servicio* y los permisos de la API de administración.

Un rol vinculado a un servicio simplifica la configuración de Neptune porque ya no tendrá que añadir manualmente los permisos necesarios. Neptune define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Neptune puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma, se protegen los recursos de Neptune, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte [AWS Servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la opción **Sí** en la columna Función vinculada a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de roles vinculados a servicios de Neptune
<a name="service-linked-role-permissions"></a>

Neptune usa la función `AWSServiceRoleForRDS` vinculada al servicio para permitir que Neptune y Amazon RDS AWS llamen a los servicios en nombre de sus instancias de base de datos. El rol vinculado a servicios `AWSServiceRoleForRDS` confía en el servicio `rds.amazonaws.com` para asumir el rol.

La política de permisos del rol permite que Neptune realice las siguientes acciones en los recursos especificados:
+ Acciones en `ec2`:
  + `AssignPrivateIpAddresses`
  + `AuthorizeSecurityGroupIngress`
  + `CreateNetworkInterface`
  + `CreateSecurityGroup`
  + `DeleteNetworkInterface`
  + `DeleteSecurityGroup`
  + `DescribeAvailabilityZones`
  + `DescribeInternetGateways`
  + `DescribeSecurityGroups`
  + `DescribeSubnets`
  + `DescribeVpcAttribute`
  + `DescribeVpcs`
  + `ModifyNetworkInterfaceAttribute`
  + `RevokeSecurityGroupIngress`
  + `UnassignPrivateIpAddresses`
+ Acciones en `sns`:
  + `ListTopic`
  + `Publish`
+ Acciones en `cloudwatch`:
  + `PutMetricData`
  + `GetMetricData`
  + `CreateLogStream`
  + `PullLogEvents`
  + `DescribeLogStreams`
  + `CreateLogGroup`

**nota**  
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Podría encontrarse con el siguiente mensaje de error:  
Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.  
Si aparece este mensaje, asegúrese de que tiene los siguientes permisos habilitados:   

```
{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}
```
 Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Creación de un rol vinculado a un servicio de Neptune
<a name="create-service-linked-role"></a>

No necesita crear manualmente un rol vinculado a servicios. Al crear una instancia o un clúster, Neptune se encarga de crear el rol vinculado al servicio.

**importante**  
Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) en la *Guía del usuario de IAM*.

Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una instancia o un clúster, Neptune se encarga de crear el rol vinculado al servicio de nuevo.

## Modificación de un rol vinculado a un servicio de Neptune
<a name="edit-service-linked-role"></a>

Neptune no le permite editar el rol vinculado a servicios `AWSServiceRoleForRDS`. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminación de un rol vinculado a un servicio de Neptune
<a name="delete-service-linked-role"></a>

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a servicios, recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe eliminar todas las instancias y clústeres para poder eliminar la función vinculada al servicio asociada.

### Limpiar una función vinculada a un servicio antes de eliminar
<a name="delete-service-linked-role-cleanup"></a>

Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.

**Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM**

1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)

1. En el panel de navegación de la consola de IAM, elija **Roles (Roles)**. A continuación, seleccione el nombre (no la casilla de verificación) del rol de `AWSServiceRoleForRDS`.

1. En la página **Resumen** del rol seleccionado, seleccione la pestaña **Asesor de acceso**.

1. En la pestaña **Asesor de acceso**, revise la actividad reciente del rol vinculado a servicios.
**nota**  
Si no está seguro de si Neptune utiliza el rol `AWSServiceRoleForRDS`, puede intentar eliminar el rol para comprobarlo. Si el servicio está utilizando el rol, este no podrá eliminarse y podrá ver las regiones en las que se está utilizando. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a servicios. 

Si desea quitar la función `AWSServiceRoleForRDS`, primero debe eliminar *todos* sus clústeres e instancias.

#### Eliminación de todas las instancias
<a name="delete-service-linked-role-instances"></a>

Use alguno de estos procedimientos para eliminar cada una de sus instancias.

**Para eliminar una instancia (consola)**

1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. En el panel de navegación, seleccione **Instances (Instancias)**.

1. En la lista **Instances**, elija la instancia que desea eliminar.

1. Elija **Instance actions** y, a continuación, **Delete**.

1. Si aparece el mensaje **Create final Snapshot? (¿Crear instantánea final?)**, elija **Yes (Sí)** o **No**.

1. Si eligió **Yes (Sí)** en el paso anterior, en **Final snapshot name (Nombre de instantánea final)** escriba el nombre de la instantánea final.

1. Elija **Eliminar**.

**Para eliminar una instancia (AWS CLI)**  
Consulte `[delete-db-instance](https://docs.aws.amazon.com/cli/latest/reference/neptune/delete-db-instance.html)` en la *referencia de comandos de AWS CLI *.

**Para eliminar una instancia (API)**  
Consulte `[DeleteDBInstance](&doc-domaiAPI_DeleteDBInstance.html)`.

#### Eliminación de todos los clústeres
<a name="delete-service-linked-role-clusters"></a>

Utilice uno de los siguientes procedimientos para eliminar un clúster y, a continuación, repita el procedimiento para cada uno de los clústeres.

**Para eliminar un clúster (consola)**

1. [Inicie sesión en la consola AWS de administración y abra la consola de Amazon Neptune en https://console.aws.amazon.com/neptune/ casa.](https://console.aws.amazon.com/neptune/home)

1. En la lista **Clusters**, elija el clúster que desea eliminar.

1. Elija **Cluster Actions** y, a continuación, **Delete**.

1. Elija **Eliminar**.

**Para eliminar un clúster (CLI)**  
Consulte `[delete-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/neptune/delete-db-cluster.html)` en la *referencia de comandos de AWS CLI *.

**Para eliminar un clúster (API)**  
Consulte `[DeleteDBCluster](API_DeleteDBCluster.html)`

Puede utilizar la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios `AWSServiceRoleForRDS`. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.