Amazon API Gateway utiliza Roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a API Gateway. Los roles vinculados a servicios están predefinidos por API Gateway e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica la configuración de API Gateway porque ya no tendrá que agregar manualmente los permisos necesarios. API Gateway define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo API Gateway puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados. De esta forma, se protegen los recursos de API Gateway, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service Linked Role (Rol vinculado a servicios). Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de roles vinculados a servicios para API Gateway
API Gateway utiliza el rol vinculado a un servicio denominado AWSServiceRoleForAPIGateway: permite a API Gateway acceder a Elastic Load Balancing, Amazon Data Firehose y otros recursos de servicios en su nombre.
El rol vinculado a un servicio AWSServiceRoleForAPIGateway confía en que los siguientes servicios asuman el rol
-
ops.apigateway.amazonaws.com
La política de permisos de rol permite que API Gateway realice las siguientes acciones en los recursos especificados:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddListenerCertificates",
"elasticloadbalancing:RemoveListenerCertificates",
"elasticloadbalancing:ModifyListener",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeLoadBalancers",
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"servicediscovery:DiscoverInstances"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/amazon-apigateway-*"
},
{
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate",
"acm:GetCertificate"
],
"Resource": "arn:aws:acm:*:*:certificate/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterfacePermission",
"Resource": "arn:aws:ec2:*:*:network-interface/*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"Owner",
"VpcLinkId"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:UnassignPrivateIpAddresses",
"ec2:DescribeSubnets",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "servicediscovery:GetNamespace",
"Resource": "arn:aws:servicediscovery:*:*:namespace/*"
},
{
"Effect": "Allow",
"Action": "servicediscovery:GetService",
"Resource": "arn:aws:servicediscovery:*:*:service/*"
}
]
}Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a un servicio para API Gateway
No necesita crear manualmente un rol vinculado a un servicio. Cuando crea una API, un nombre de dominio personalizado o un enlace de VPC en la AWS Management Console, la AWS CLI o la API AWS, API Gateway crea de nuevo el rol vinculado a un servicio.
Si elimina este rol vinculado a servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una API, un nombre de dominio personalizado o un enlace de VPC, API Gateway crea de nuevo el rol vinculado a un servicio.
Modificación de un rol vinculado a un servicio para API Gateway
API Gateway no permite editar el rol vinculado a un servicio AWSServiceRoleForAPIGateway. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a un servicio para API Gateway
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio de API Gateway utiliza el rol cuando intenta eliminar los recursos, es posible que no se pueda borrar. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar recursos de API Gateway utilizados por AWSServiceRoleForAPIGateway
-
Abra la consola de Amazon API Gateway en https://console.aws.amazon.com/apigateway
. -
Vaya a la API, el nombre de dominio personalizado o el enlace de la VPC que utiliza el rol vinculado al servicio.
-
Use la consola de para eliminar el recurso.
-
Repita el procedimiento para eliminar todas las API, nombres de dominio personalizados o vínculos de la VPC que utilicen el rol vinculado al servicio.
Eliminación manual del rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio AWSServiceRoleForAPIGateway. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones que admiten roles vinculados a servicios de API Gateway
API Gateway admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de enlace del servicio de AWS.
Actualizaciones de API Gateway de las políticas administradas de AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para API Gateway debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de la API Gateway.
| Cambio | Descripción | Fecha |
|---|---|---|
|
Se ha añadido soporte |
La política de |
12 de julio de 2021 |
|
API Gateway comenzó el seguimiento de los cambios |
API Gateway comenzó el seguimiento de los cambios para las Políticas administradas por AWS. |
12 de julio de 2021 |
