Uso de roles vinculados a servicios de App Mesh - AWS App Mesh
Permisos de roles vinculados a servicios de App MeshCreación de un rol vinculado a un servicio para App MeshModificación de un rol vinculado a un servicio de App MeshEliminación de un rol vinculado a un servicio de App MeshRegiones admitidas para los roles vinculados a servicios de App Mesh

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios de App Mesh

importante

Aviso de fin del soporte: el 30 de septiembre de 2026, AWS suspenderemos el soporte para. AWS App Mesh Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visita esta entrada de blog Migración desde AWS App Mesh a Amazon ECS Service Connect.

AWS App Mesh usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado a un servicio es un tipo de IAM rol único que está vinculado directamente a App Mesh. App Mesh predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.

Un rol vinculado a un servicio simplifica la configuración de App Mesh porque ya no tendrá que agregar manualmente los permisos necesarios. App Mesh define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo App Mesh puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.

Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de App Mesh, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios con los que funcionan IAM y busque los servicios con los que se indica en la columna Función vinculada al servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios de App Mesh

App Mesh usa el rol vinculado al servicio denominado AWSServiceRoleForAppMesh: el rol permite a App Mesh llamar a AWS los servicios en tu nombre.

El rol AWSServiceRoleForAppMesh vinculado al servicio confía en que el appmesh.amazonaws.com servicio asuma el rol.

Detalles del permiso

  • servicediscovery:DiscoverInstances: permite que App Mesh realice acciones en todos los recursos de AWS .

  • servicediscovery:DiscoverInstancesRevision‐ Permite que App Mesh complete acciones en todos los AWS recursos.

Esta política incluye los permisos siguientes:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CloudMapServiceDiscovery",
			"Effect": "Allow",
			"Action": [
				"servicediscovery:DiscoverInstances",
				"servicediscovery:DiscoverInstancesRevision"
			],
			"Resource": "*"
		},
		{
			"Sid": "ACMCertificateVerification",
			"Effect": "Allow",
			"Action": [
				"acm:DescribeCertificate"
			],
			"Resource": "*"
		}
	]
}

Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte Permisos de roles vinculados a un servicio en la Guía del usuario. IAM

Creación de un rol vinculado a un servicio para App Mesh

Si creaste una malla después del 5 de junio de 2019 en AWS Management Console, App Mesh o App Mesh creó el rol vinculado al servicio automáticamente. AWS CLI AWS API Para que el rol vinculado al servicio se haya creado para usted, la IAM cuenta que utilizó para crear la malla debe tener la AWSAppMeshFullAccessIAMpolítica adjunta o una política adjunta que contenga el permiso. iam:CreateServiceLinkedRole Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una malla, App Mesh se encarga de crear de nuevo el rol vinculado al servicio por usted. Si tu cuenta solo contiene mallas creadas antes del 5 de junio de 2019 y quieres usar el rol vinculado al servicio con esas mallas, puedes crear el rol mediante la consola. IAM

Puedes usar la IAM consola para crear un rol vinculado a un servicio con el caso de uso de App Mesh. En AWS CLI o en AWS API, cree un rol vinculado a un servicio con el nombre del servicio. appmesh.amazonaws.com Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario. IAM Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Modificación de un rol vinculado a un servicio de App Mesh

App Mesh no permite editar el rol AWSServiceRoleForAppMesh vinculado al servicio. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminación de un rol vinculado a un servicio de App Mesh

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de App Mesh está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de App Mesh utilizados por AWSServiceRoleForAppMesh

  1. Elimine todas las rutas definidas para todos los enrutadores de la malla.

  2. Elimine todos los enrutadores virtuales de la malla.

  3. Elimine todos los servicios virtuales de la malla.

  4. Elimine todos los nodos virtuales de la malla.

  5. Elimine la malla.

Realice los pasos anteriores para todas las mallas de su cuenta.

Para eliminar manualmente el rol vinculado al servicio mediante IAM

Utilice la IAM consola AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForAppMesh servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM

Regiones admitidas para los roles vinculados a servicios de App Mesh

App Mesh admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte Puntos de conexión y cuotas de App Mesh.