Funciones vinculadas a servicios para Amazon Auto Scaling EC2 - Amazon EC2 Auto Scaling
Información generalPermisos concedidos por el rol vinculado a serviciosRegiones compatibles con las funciones vinculadas al servicio Amazon EC2 Auto ScalingCreación, edición y eliminación de un rol vinculado a un servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Funciones vinculadas a servicios para Amazon Auto Scaling EC2

Amazon EC2 Auto Scaling utiliza funciones vinculadas a servicios para obtener los permisos que necesita para llamar a otras personas Servicios de AWS en su nombre. Un rol vinculado a un servicio es un tipo de IAM rol único que está vinculado directamente a un. Servicio de AWS

Los roles vinculados a servicios ofrecen una manera segura de delegar permisos a otros Servicios de AWS , ya que solo los servicios vinculados pueden asumir roles vinculados a servicios. Para obtener más información, consulte Uso de roles vinculados a un servicio en la Guía del usuario. IAM Los roles vinculados al servicio también permiten ver todas las API llamadas. AWS CloudTrail Esto ayuda a cumplir con los requisitos de supervisión y auditoría, ya que puede realizar un seguimiento de todas las acciones que Amazon EC2 Auto Scaling realiza en su nombre. Para obtener más información, consulte Registre las API llamadas EC2 de Amazon Auto Scaling con AWS CloudTrail.

En las siguientes secciones se describe cómo crear y gestionar las funciones vinculadas al servicio Amazon EC2 Auto Scaling. Comience por configurar los permisos para permitir que una IAM identidad (como un usuario o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte Uso de funciones vinculadas a un servicio en la Guía del usuario. IAM

Información general

Existen dos tipos de funciones vinculadas al servicio Amazon EC2 Auto Scaling:

  • El rol predeterminado vinculado al servicio de su cuenta, llamado. AWSServiceRoleForAutoScaling Este rol se asigna automáticamente a los grupos de Auto Scaling, a menos que se haya especificado otro rol vinculado a servicios.

  • Un rol vinculado a un servicio con un sufijo personalizado que se especifica al crear el rol, por ejemplo, _ AWSServiceRoleForAutoScalingmysuffix.

Los permisos de un rol vinculado a servicios con un sufijo personalizado son idénticos a los del rol vinculado a servicios predeterminado. En ninguno de los dos casos podrá editar los roles. Tampoco podrá eliminarlos si hay un grupo de escalado automático que los está usando. La única diferencia es el sufijo del nombre del rol.

Puede especificar cualquiera de los roles al editar sus políticas de AWS Key Management Service claves para permitir que las instancias lanzadas por Amazon EC2 Auto Scaling se cifren con su clave administrada por el cliente. Sin embargo, si tiene previsto proporcionar acceso pormenorizado a una determinada clave administrada por el cliente, debe utilizar un rol vinculado a servicios con un sufijo personalizado. El uso de un rol vinculado a servicios con un sufijo personalizado le ofrece:

  • Mayor control sobre la clave administrada por el cliente

  • La capacidad de rastrear qué grupo de Auto Scaling realizó una API llamada en sus CloudTrail registros

Si crea las claves administradas por el cliente de forma que no todos los usuarios tangan acceso a ellas, siga estos pasos para permitir el uso de un rol vinculado a servicios con un sufijo personalizado:

  1. Cree un rol vinculado a servicios con un sufijo personalizado. Para obtener más información, consulte Creación de un rol vinculado a servicios (manual).

  2. Proporcione al rol vinculado a servicios acceso a una clave administrada por el cliente. Para obtener más información acerca de la política de claves que permite que un rol vinculado a servicios utilice la clave, consulte Política de AWS KMS claves obligatoria para su uso con volúmenes cifrados.

  3. Dé acceso a los usuarios al rol vinculado a servicios que creó. Para obtener más información sobre la creación de la IAM política, consulteControle qué función vinculada al servicio puede transferirse (mediante) PassRole. Si los usuarios intentan especificar un rol vinculado a servicios sin permiso para transferir ese rol al servicio, recibirán un error.

Permisos concedidos por el rol vinculado a servicios

Amazon EC2 Auto Scaling utiliza el nombre del rol vinculado al servicio AWSServiceRoleForAutoScalingo el sufijo personalizado del rol vinculado al servicio.

El rol vinculado a servicio de confía en el siguiente servicio para asumir el rol:

  • autoscaling.amazonaws.com

La política de permisos del rol, AutoScalingServiceRolePolicy, permite a Amazon EC2 Auto Scaling realizar las siguientes acciones:

  • ec2— Crear, describir, modificar, iniciar/detener y finalizar EC2 instancias.

  • iamTransfiera las IAM funciones a EC2 las instancias para que las aplicaciones que se ejecutan en las instancias puedan acceder a las credenciales temporales de la función.

  • iam— Cree el rol AWSServiceRoleForEC2Spotvinculado al servicio para permitir que Amazon EC2 Auto Scaling lance instancias puntuales en su nombre.

  • elasticloadbalancing: registrar y anular el registro de instancias con Elastic Load Balancing y comprobar el estado de los destinos registrados.

  • cloudwatch— Cree, describa, modifique y elimine CloudWatch las alarmas para las políticas de escalado y recupere las métricas utilizadas para el escalado predictivo.

  • sns— Publica notificaciones en Amazon SNS cuando las instancias se lancen o finalicen.

  • events— Cree, describa, actualice y elimine EventBridge reglas en su nombre.

  • ssm— Lea los parámetros del almacén de parámetros cuando utilice un parámetro de Systems Manager como alias para un AMI ID en una plantilla de lanzamiento.

  • vpc-lattice— Registra y anula el registro de instancias en VPC Lattice y comprueba el estado de los objetivos registrados.

  • resource-groups— Obtenga todos los nombres de los recursos (ARNs) de los recursos que son miembros de un grupo de recursos específico.

Regiones compatibles con las funciones vinculadas al servicio Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling admite el uso de funciones vinculadas a servicios en todos los Regiones de AWS lugares en los que el servicio esté disponible.

Creación, edición y eliminación de un rol vinculado a un servicio

Creación de un rol vinculado a servicios (automático)

Amazon EC2 Auto Scaling crea el rol AWSServiceRoleForAutoScalingvinculado al servicio automáticamente la primera vez que crea un grupo de Auto Scaling, a menos que cree manualmente un rol vinculado al servicio con sufijo personalizado y lo especifique al crear el grupo.

importante

Debe tener IAM permisos para crear el rol vinculado al servicio. De lo contrario, la creación automática no se lleva a cabo. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del IAMusuario y Creación de un rol vinculado al servicio en esta guía.

Amazon EC2 Auto Scaling comenzó a ofrecer funciones vinculadas a servicios en marzo de 2018. Si creó un grupo de Auto Scaling antes, Amazon EC2 Auto Scaling creó el AWSServiceRoleForAutoScalingrol en su cuenta. Para obtener más información, consulte Apareció un nuevo rol Cuenta de AWS en mi Guía del IAM usuario.

Creación de un rol vinculado a servicios (manual)

Para crear un rol vinculado a un servicio (consola)

  1. Abra la IAM consola en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles, Crear rol.

  3. En Select trusted entity (Seleccionar entidad de confianza), elija AWS service (Servicio de ).

  4. Para Elegir el servicio que utilizará este rol, elija EC2Auto Scaling y el caso de uso de EC2Auto Scaling.

  5. Seleccione Next: Permissions (Siguiente: permisos), Next: Tags (Siguiente: etiquetas) y Next: Review (Siguiente: revisar). Nota: no se pueden asociar etiquetas a un rol vinculado a servicios durante su creación.

  6. En la página de revisión, deje el nombre del rol en blanco para crear un rol vinculado al servicio con ese nombre AWSServiceRoleForAutoScalingo introduzca un sufijo para crear un rol vinculado al servicio con el nombre _ AWSServiceRoleForAutoScalingsuffix.

  7. (Opcional) En Role description (Descripción del rol), modifique la descripción del nuevo rol vinculado a servicios.

  8. Elija Crear rol.

Para crear un rol vinculado a un servicio (AWS CLI)

Utilice el siguiente create-service-linked-roleCLIcomando para crear un rol vinculado a un servicio para Amazon EC2 Auto Scaling con el nombre _ AWSServiceRoleForAutoScalingsuffix. 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

El resultado de este comando incluye el ARN rol vinculado al servicio, que puede usar para dar acceso al rol vinculado al servicio a la clave administrada por el cliente. 

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario. IAM

Editar el rol vinculado a servicios

No puede editar las funciones vinculadas a servicios que se crean para Amazon EC2 Auto Scaling. Después de crear un rol vinculado a servicios, no se puede modificar el nombre ni los permisos. Sin embargo, sí se puede modificar la descripción del rol. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del usuario. IAM

Eliminar el rol vinculado a servicios

Si no está utilizando un grupo de escalado automático, le recomendamos que elimine el rol vinculado a servicios. Si lo elimina, evitará tener una entidad que no se utiliza o no tendrá que monitorizarla o mantenerla de forma activa.

Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos dependientes relacionados. Esto lo protege de la revocación inadvertida de los permisos de Amazon EC2 Auto Scaling para sus recursos. Si un rol vinculado a servicios se utiliza con varios grupos de Auto Scaling, debe eliminar todos los grupos de Auto Scaling que utilicen ese rol vinculado a servicios para poder eliminarlo. Para obtener más información, consulte Eliminación de la infraestructura de Auto Scaling.

Puede utilizarla IAM para eliminar un rol vinculado a un servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM

Si elimina el rol AWSServiceRoleForAutoScalingvinculado al servicio, Amazon EC2 Auto Scaling lo vuelve a crear al crear un grupo de Auto Scaling y no especifica otro rol vinculado al servicio.