Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Uso de roles vinculados a servicios para Shield Advanced

Esta sección explica cómo utilizar roles vinculados a servicios para concederle a Shield Avanzado acceso a los recursos de su cuenta de AWS.

AWS Shield Advanced usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Shield Advanced. Los roles vinculados a servicios están predefinidos por Shield Advanced e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de Shield Advanced, puesto que ya no hará falta añadir manualmente los permisos necesarios. Shield Advanced define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Shield Advanced puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Shield Advanced, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado a un servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios para Shield Advanced

Shield Advanced usa el rol vinculado a un servicio denominado AWSServiceRoleForAWSShield. Esta función permite a Shield Advanced acceder a AWS y gestionar sus recursos para responder automáticamente a los ataques DDoS de la capa de aplicación en su nombre. Para obtener más información acerca de esta funcionalidad, consulte Automatización de la mitigación de DDoS en la capa de aplicación con Shield Avanzado .

El rol vinculado al servicio AWSServiceRoleForAWSShield depende de los siguientes servicios para asumir el rol:

La política de permisos del rol llamada AWSShieldServiceRolePolicy permite que Shield Advanced realice las siguientes acciones en todos los recursos especificados de AWS:

Cuando se permiten acciones en todos los recursos de AWS, esto se indica en la política como "Resource": "*". Esto solo significa que el rol vinculado al servicio puede realizar cada acción indicada en todos los recursos de AWS compatibles con la acción. Por ejemplo, la acción wafv2:GetWebACL solo es compatible con los recursos de ACL web de wafv2.

Shield Advanced solo realiza llamadas a la API a nivel de recursos para los recursos protegidos para los que haya habilitado la característica de protección de la capa de aplicación y para las ACL web asociadas a esos recursos protegidos.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para Shield Advanced

No necesita crear manualmente un rol vinculado a servicios. Cuando habilita la mitigación automática de DDoS en la capa de aplicación para un recurso en la Consola de administración de AWS, la AWS CLI o la API de AWS, Shield Advanced crea el rol vinculado al servicio para usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando habilita la mitigación automática de DDoS en la capa de aplicación para un recurso, Shield Advanced crea el rol vinculado al servicio para usted otra vez.

Modificación de un rol vinculado a un servicio para Shield Advanced

Shield Advanced no permite editar el rol vinculado al servicio AWSServiceRoleForAWSShield. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Shield Advanced

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Eliminación de los recursos de Shield Advanced que utiliza AWSServiceRoleForAWSShield

Para todos los recursos que tengan configuradas las protecciones DDoS en la capa de aplicación, desactive la mitigación automática de DDoS de la capa de aplicación. Para obtener instrucciones sobre la consola, consulte Configure las protecciones DDoS en la capa de aplicación.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForAWSShield. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a servicios de Shield Advanced

Shield Advanced admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte Puntos de conexiones y cuotas de Shield Advanced.