Uso de roles vinculados a servicios para Resource Groups - AWS Resource Groups
PermisosCreación de la función Edición del rolEliminar el rolRegiones admitidas para los roles vinculados a servicios de Resource Groups

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Resource Groups

AWS Resource Groups utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Resource Groups. Los roles vinculados a servicios están predefinidos por Resource Groups e incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de Resource Groups porque ya no tendrá que agregar manualmente los permisos necesarios. Resource Groups define los permisos de sus roles vinculados a servicios y establece políticas de confianza en cada uno de ellos para garantizar que solo el servicio Resource Groups pueda asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede adjuntar a ninguna otra entidad de IAM.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-linked roles (Roles vinculados a servicios). Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para Resource Groups

Resource Groups utiliza el siguiente rol vinculado a un servicio para respaldar los eventos del ciclo de vida del grupo. Elija el enlace que aparece en el nombre del rol para verlo en la consola de IAM después de crearlo.

Resource Groups utiliza los permisos de este rol para consultar a Servicios de AWS sobre los propietarios de sus recursos a fin de resolver la pertenencia a grupos y mantener el grupo actualizado. Permite a Resource Groups emitir eventos relacionados con el servicio al servicio Amazon EventBridge.

El rol vinculado a servicio AWSServiceRoleForResourceGroups confía solo en el siguiente servicio para asumir el rol:

  • resourcegroups.amazonaws.com

Los permisos asociados al rol provienen de la siguiente política administrada de AWS. Seleccione el enlace en el nombre de la política para ver la política en la consola IAM.

Creación del rol vinculado a servicio para Resource Groups

importante

Este rol vinculado al servicio puede aparecer en su cuenta si ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para más información, consulte Un nuevo rol apareció en mi Cuenta de AWS.

Para crear el rol vinculado a un servicio, active la característica de eventos del ciclo de vida del grupo.

Edición de un rol vinculado a un servicio para Resource Groups

Resource Groups no le permite editar el rol vinculado al servicio AWSServiceRoleForResourceGroups. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Resource Groups

Puede eliminar el rol vinculado a un servicio solo después de desactivar la característica de eventos del ciclo de vida del grupo.

importante

Eliminar manualmente el rol vinculado al servicio

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForResourceGroups. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Console
Para eliminar el rol vinculado a servicios de Resource Groups

  1. Abra la consola de IAM en la página Roles.

  2. Busque el rol denominado AWSServiceRoleForResourceGroups y active la casilla de verificación situada junto a él.

  3. Elija Eliminar.

  4. Confirme su intención de eliminar el rol introduciendo el nombre del rol en el cuadro y, a continuación, seleccione Eliminar.

El rol desaparecerá de la lista de roles en la consola de IAM.

AWS CLI
Para eliminar el rol vinculado a servicios de Resource Groups

Para eliminar el rol, ingrese el siguiente comando con los parámetros exactamente como se muestran. No reemplace ninguno de los valores.

$ aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForResourceGroups
{
    "DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}

El comando devuelve un ID de tarea. La eliminación efectiva del rol se produce de forma asíncrona. Puede comprobar el estado de la eliminación del rol pasando el identificador de tarea proporcionado al siguiente comando AWS CLI.

$ aws iam get-service-linked-role-deletion-status \
    --deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
    "Status": "SUCCEEDED"
}

Regiones admitidas para los roles vinculados a servicios de Resource Groups

Resource Groups admite el uso de roles vinculados a servicios en todas las Regiones de AWS en las que el servicio está disponible. Para obtener más información, consulte Regiones y puntos de conexión de AWS.