# Uso de roles vinculados a servicios de Amazon RDS
Amazon RDS utiliza [roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon RDS. Los roles vinculados a servicios están predefinidos por Amazon RDS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica el uso de Amazon RDS porque ya no tendrá que agregar manualmente los permisos necesarios. Amazon RDS define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon RDS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma, se protegen los recursos de Amazon RDS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado al servicio**. Seleccione una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios de Amazon RDS
Amazon RDS utiliza el rol vinculado al servicio denominado AWSServiceRoleForRDS para permitir que Amazon RDS llame a servicios de AWS en nombre de sus instancias de base de datos.
El rol vinculado al servicio AWSServiceRoleForRDS confía en que los siguientes servicios asuman el rol:
+ `rds.amazonaws.com`
Este rol vinculado al servicio tiene una política de permisos adjunta llamada `AmazonRDSServiceRolePolicy`, que le otorga permisos para operar en su cuenta.
Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte [AmazonRDSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSServiceRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS*.
**nota**
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:
**Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.**
Asegúrese de que tiene habilitados los permisos siguientes:
```
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"rds.amazonaws.com"
}
}
}
```
Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
### Creación de un rol vinculado a un servicio de Amazon RDS
No necesita crear manualmente un rol vinculado a un servicio. Cuando crea una instancia de base de datos, Amazon RDS crea por usted el rol vinculado al servicio.
**importante**
Si utilizaba el servicio Amazon RDS antes del 1 de diciembre de 2017, cuando comenzó a admitir roles vinculados a servicios, entonces Amazon RDS creó el rol AWSServiceRoleForRDS en su cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un clúster de base de datos, Amazon RDS vuelve a crear por usted el rol vinculado al servicio.
### Modificación de un rol vinculado a un servicio de Amazon RDS
Amazon RDS no permite editar el rol vinculado al servicio AWSServiceRoleForRDS. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
### Eliminación de un rol vinculado a un servicio de Amazon RDS
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todas las instancias para poder eliminar el rol vinculado al servicio.
#### Limpiar un rol vinculado a un servicio
Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.
**Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la consola de IAM, elija **Roles**. Luego, elija el nombre (no la casilla de verificación) del rol AWSServiceRoleForRDS.
1. En la página **Resumen** del rol seleccionado, elija la pestaña **Acceso reciente**.
1. En la pestaña **Acceso reciente**, revise la actividad reciente del rol vinculado a servicios.
**nota**
Si no está seguro de si Amazon RDS utiliza el rol AWSServiceRoleForRDS, puede intentar eliminar el rol para comprobarlo. Si el servicio está utilizando el rol, este no podrá eliminarse y podrá ver las regiones de AWS en las que se está utilizando. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a un servicio.
Si desea eliminar el rol AWSServiceRoleForRDS, primero debe eliminar sus instancias de base de datos *totales*.
##### Eliminación de todas las instancias
Use alguno de estos procedimientos para eliminar cada una de sus instancias.
**Para eliminar una instancia (consola)**
1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. En el panel de navegación, seleccione **Databases (Bases de datos)**.
1. Elija la instancia que desea eliminar.
1. En **Actions (Acciones)**, elija **Delete (Eliminar)**.
1. Si aparece el mensaje **Create final Snapshot? (¿Crear instantánea final?)**, elija **Yes (Sí)** o **No**.
1. Si eligió **Yes (Sí)** en el paso anterior, en **Final snapshot name (Nombre de instantánea final)** escriba el nombre de la instantánea final.
1. Elija **Eliminar**.
**Para eliminar una instancia (CLI)**
Consulte `[delete-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/delete-db-instance.html)` en la *referencia de comandos de AWS CLI*.
**Para eliminar una instancia (API)**
Consulte `[DeleteDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DeleteDBInstance.html)` en la *Amazon RDS API Reference*.
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado al servicio AWSServiceRoleForRDS. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Permisos de roles vinculados a servicios para Amazon RDS Custom
Amazon RDS Custom utiliza el rol vinculado al servicio llamado `AWSServiceRoleForRDSCustom` para permitir que RDS Custom llame a los servicios de AWS en nombre de sus recursos de base de datos de RDS.
El rol vinculado al servicio AWSServiceRoleForRDSCustom confía en los siguientes servicios para asumir el rol:
+ `custom.rds.amazonaws.com`
Este rol vinculado al servicio tiene una política de permisos adjunta llamada `AmazonRDSCustomServiceRolePolicy` que le otorga permisos para operar en su cuenta.
Crear, editar o eliminar el rol vinculado a servicios para RDS Custom funciona igual que para Amazon RDS. Para obtener más información, consulte [Política administrada por:AWS AmazonRDSCustomServiceRolePolicy](rds-security-iam-awsmanpol.md#rds-security-iam-awsmanpol-AmazonRDSCustomServiceRolePolicy).
**nota**
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:
**Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.**
Asegúrese de que tiene habilitados los permisos siguientes:
```
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSCustomServiceRolePolicy",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"custom.rds.amazonaws.com"
}
}
}
```
Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Permisos de roles vinculados a servicios para Amazon RDS Beta
Amazon RDS utiliza el rol vinculado al servicio llamado `AWSServiceRoleForRDSBeta` para que Amazon RDS pueda llamar a los servicios AWS en nombre de sus recursos de base de datos de RDS.
El rol vinculado al servicio AWSServiceRoleForRDSBeta depende de los siguientes servicios para asumir el rol:
+ `rds.amazonaws.com`
Este rol vinculado al servicio tiene una política de permisos adjunta llamada `AmazonRDSBetaServiceRolePolicy` que le otorga permisos para operar en su cuenta. Para obtener más información, consulte [Política administrada de:AWS AmazonRDSBetaServiceRolePolicy](rds-security-iam-awsmanpol.md#rds-security-iam-awsmanpol-AmazonRDSBetaServiceRolePolicy).
**nota**
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:
**Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.**
Asegúrese de que tiene habilitados los permisos siguientes:
```
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSBetaServiceRolePolicy",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"custom.rds.amazonaws.com"
}
}
}
```
Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Rol vinculado a servicios para Amazon RDS Preview
Amazon RDS utiliza el rol vinculado al servicio llamado `AWSServiceRoleForRDSPreview` para que Amazon RDS pueda llamar a los servicios AWS en nombre de sus recursos de base de datos de RDS.
El rol vinculado al servicio AWSServiceRoleForRDSPreview depende de los siguientes servicios para asumir el rol:
+ `rds.amazonaws.com`
Este rol vinculado al servicio tiene una política de permisos adjunta llamada `AmazonRDSPreviewServiceRolePolicy` que le otorga permisos para operar en su cuenta. Para obtener más información, consulte [Política administrada de:AWS AmazonRDSPreviewServiceRolePolicy](rds-security-iam-awsmanpol.md#rds-security-iam-awsmanpol-AmazonRDSPreviewServiceRolePolicy).
**nota**
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:
**Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.**
Asegúrese de que tiene habilitados los permisos siguientes:
```
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSPreviewServiceRolePolicy",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"custom.rds.amazonaws.com"
}
}
}
```
Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.