Modificación de una política de confianza de rol (API de AWS)Modificación de una política de permisos de rol (API de AWS)Modificación de una descripción de rol (API de AWS)Modificación de la duración máxima de la sesión de un rol (API de AWS)Modificación de un límite de permisos de rol (API de AWS)

Modificación de un rol (API de AWS)

Puede utilizar la API de AWS para modificar un rol. Para cambiar el conjunto de etiquetas en un rol, consulte Administrar etiquetas en roles de IAM (AWS CLI o API de AWS).

Temas

Modificación de una política de confianza de rol (API de AWS)
Modificación de una política de permisos de rol (API de AWS)
Modificación de una descripción de rol (API de AWS)
Modificación de la duración máxima de la sesión de un rol (API de AWS)
Modificación de un límite de permisos de rol (API de AWS)

Modificación de una política de confianza de rol (API de AWS)

Para cambiar quién puede asumir un rol, debe modificar la política de confianza del rol. No se puede modificar la política de confianza de un rol vinculado a un servicio.

Notas

Si un usuario identificado como entidad principal de una política de confianza de un rol no puede asumir ese rol, compruebe el límite de permisos del usuario. Si hay definido un límite de permisos para el usuario, el límite deberá permitir la acción sts:AssumeRole.
Para permitir que los usuarios vuelvan a asumir el rol actual dentro de una sesión de rol, especifique el ARN del rol o el ARN de la Cuenta de AWS como entidad principal en la política de confianza de rol. Los Servicios de AWS que proporcionan recursos de computación, como Amazon EC2, Amazon ECS, Amazon EKS y Lambda, brindan credenciales temporales y las actualizan automáticamente. Esto garantiza que siempre disponga de un conjunto de credenciales válido. Para estos servicios, no es necesario volver a asumir el rol actual a fin de obtener credenciales temporales. Sin embargo, si tiene la intención de aprobar etiquetas de sesión o una política de sesión, tendrá que volver a asumir el rol actual. Para obtener información sobre cómo modificar una política de confianza de roles a fin de agregar el ARN del rol o el ARN de la Cuenta de AWS para la entidad principal, consulte Modificación de una política de confianza de rol (consola).

Para modificar una política de confianza de rol (API de AWS)

(Opcional) Si no conoce el nombre del rol que desea modificar, llame a la siguiente operación para ver una lista de los roles de la cuenta:
- ListRoles
(Opcional) Para ver la política de confianza actual de un rol, llame a la siguiente operación:
- GetRole
Para modificar las entidades principales de confianza que pueden obtener acceso al rol, cree un archivo de texto con la política de confianza actualizada. Puede utilizar cualquier editor de texto para crear la política.

Por ejemplo, la política de confianza siguiente muestra cómo hacer referencia a dos Cuentas de AWS en el elemento Principal. Esto permite a los usuarios de dos Cuentas de AWS independientes asumir este rol.
```
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": {"AWS": [
            "arn:aws:iam::111122223333:root",
            "arn:aws:iam::444455556666:root"
        ]},
        "Action": "sts:AssumeRole"
    }
}
```
Si especifica una entidad principal de otra cuenta, el hecho de añadir una cuenta a la política de confianza de un rol solo es una parte del establecimiento de una relación de confianza entre cuentas. De forma predeterminada, ningún usuario de las cuentas de confianza puede asumir el rol. El administrador de la cuenta en la que se acaba de establecer la relación de confianza debe conceder a los usuarios permiso para asumir el rol. Para ello, el administrador debe crear o editar una política que esté asociada al usuario para permitirle a este el acceso a la acción sts:AssumeRole. Para obtener más información, consulte el siguiente procedimiento o Conceder permisos de usuario para cambiar de rol.
Si desea utilizar el archivo que acaba de crear para actualizar la política de confianza, llame a la operación siguiente:
- UpdateAssumeRolePolicy

Para permitir que los usuarios de una cuenta externa de confianza utilicen el rol (API de AWS)

Para obtener más información y detalles sobre este procedimiento, consulte Conceder permisos de usuario para cambiar de rol.

Cree un archivo JSON que contenga una política de permisos que conceda permisos para asumir el rol. Por ejemplo, la política siguiente contiene los permisos mínimos necesarios:
```
{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME"
  }
}
```
Reemplace el ARN de la instrucción por el ARN del rol que el usuario puede asumir.
Llame a la operación siguiente para cargar el archivo JSON que contiene la política de confianza en IAM:
- CreatePolicy
La salida de esta operación incluye el ARN de la política. Anote este ARN, ya que tendrá que utilizarlo en un paso posterior.
Decida a qué usuario o grupo asociará la política. Si no conoce el nombre del usuario o el grupo en cuestión, llame a una de las operaciones siguientes para mostrar una lista de los usuarios o grupos de la cuenta:
- ListUsers
- ListGroups
Llame a una de las operaciones siguientes para asociar la política que ha creado en el paso anterior al usuario o al grupo:
- API: AttachUserPolicy
- AttachGroupPolicy

Modificación de una política de permisos de rol (API de AWS)

Para cambiar los permisos permitidos por el rol, modifique la política (o políticas) de permisos del rol. No se puede modificar la política de permisos de un rol vinculado a un servicio en IAM. Se podría modificar la política de permisos en el servicio que depende del rol. Para comprobar si un servicio admite esta característica, consulte Servicios de AWS que funcionan con IAM y busque los servicios con Sí en la columna Roles vinculados a servicios. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Para cambiar los permisos que permite un rol (API de AWS)

(Opcional) Para ver los permisos actuales asociados a un rol, llame a las siguientes operaciones:
1. ListRolePolicies para obtener una lista de políticas insertadas
2. ListAttachedRolePolicies para obtener una lista de políticas administradas
La operación para actualizar los permisos del rol varía en función de si se está actualizando una política administrada o una política insertada.

Para actualizar una política administrada, llame a la siguiente operación para crear una nueva versión de la política administrada:
- CreatePolicyVersion
Para actualizar una política insertada, llame a la siguiente operación:
- PutRolePolicy

Modificación de una descripción de rol (API de AWS)

Para cambiar la descripción del rol, modifique el texto de descripción.

Para cambiar la descripción de un rol (API de AWS)

(Opcional) Para ver la descripción actual de un rol, llame a la siguiente operación:
- GetRole
Para actualizar la descripción de un rol, llame a la siguiente operación con el parámetro de descripción:
- UpdateRole

Modificación de la duración máxima de la sesión de un rol (API de AWS)

Para especificar la duración máxima de la sesión para los roles que se asumen mediante la API o la AWS CLI, modifique el valor del ajuste de duración máxima de la sesión. Esta opción puede tener un valor comprendido entre 1 y 12 horas. Si no especifica un valor, se aplicará el valor máximo predeterminado de 1 hora. Esta configuración no limita las sesiones asumidas por los servicios de AWS.

nota

Cualquiera que asuma el rol desde la API o la AWS CLI puede utilizar el duration-seconds parámetro de la CLI o el DurationSeconds parámetro de la API para solicitar una sesión más larga. El ajuste MaxSessionDuration determina la duración máxima de la sesión de rol que se puede solicitar mediante el parámetro DurationSeconds. Si los usuarios no especifican un valor para el parámetro DurationSeconds, sus credenciales de seguridad serán válidas durante una hora.

Para cambiar el valor de la duración máxima de la sesión para los roles que se asumen mediante la API (API de AWS)

(Opcional) Para ver el valor actual de la duración máxima de la sesión de un rol, llame a la siguiente operación:
- GetRole
Para actualizar el valor de la duración máxima de la sesión de un rol, llame a la siguiente operación con el parámetro max-sessionduration de la CLI o el parámetro MaxSessionDuration de la API:
- UpdateRole
Los cambios no entrarán en vigor hasta la próxima vez que alguien asuma este rol. Para obtener información sobre cómo revocar sesiones existentes para este rol, consulte Revocación de las credenciales de seguridad temporales de un rol de IAM.

Modificación de un límite de permisos de rol (API de AWS)

Para cambiar los permisos máximos permitidos para un rol, modifique el límite de permisos del rol.

Para cambiar la política administrada que se utiliza para establecer el límite de permisos de un rol (API de AWS)

(Opcional) Para ver el límite de permisos actual de un rol, llame a la operación siguiente:
- GetRole
Si desea utilizar una política administrada diferente para actualizar el límite de permisos de un rol, llame a la operación siguiente:
- PutRolePermissionsBoundary
Un rol solo puede tener una política administrada configurada como límite de permisos. Si cambia el límite de permisos, también cambiará los permisos que puede tener un rol como máximo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Modificación de un rol (AWS CLI)

Eliminación de roles o perfiles de instancia