Roles vinculados a servicios de AWS Direct Connect - AWS Direct Connect
Permisos de roles vinculados a servicios de AWS Direct ConnectCreación de un rol vinculado a un servicio de AWS Direct ConnectModificación de un rol vinculado a servicios de AWS Direct ConnectEliminación de un rol vinculado a un servicio de AWS Direct ConnectRegiones admitidas para los roles vinculados a un servicio de AWS Direct Connect

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Roles vinculados a servicios de AWS Direct Connect

AWS Direct Connect utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a AWS Direct Connect. Los roles vinculados a servicios están predefinidos por AWS Direct Connect e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Con un rol vinculado a servicios, resulta más sencillo configurar AWS Direct Connect, porque no es preciso agregar los permisos necesarios manualmente. AWS Direct Connect define los permisos de los roles vinculados con su propio servicio y, a menos que esté definido de otra manera, solo AWS Direct Connect puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de AWS Direct Connect, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado a un servicio. Seleccione una opción con un enlace para ver la documentación relativa al rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de AWS Direct Connect

AWS Direct Connect utiliza el rol vinculado al servicio denominado AWSServiceRoleForDirectConnect. Esto permite a AWS Direct Connect recuperar los secretos de MACsec almacenados en AWS Secrets Manager en su nombre.

El rol vinculado al servicio AWSServiceRoleForDirectConnect depende de los siguientes servicios para asumir el rol:

  • directconnect.amazonaws.com

El rol vinculado al servicio AWSServiceRoleForDirectConnect utiliza la política administrada AWSDirectConnectServiceRolePolicy.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para que el rol vinculado al servicio AWSServiceRoleForDirectConnect se cree correctamente, la identidad de IAM con la que se utiliza AWS Direct Connect debe tener los permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a la identidad de IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "directconnect.amazonaws.com"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:GetRole",
            "Effect": "Allow",
            "Resource": "*"
       }
    ]
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio de AWS Direct Connect

No es necesario que cree de forma manual un rol vinculado al servicio. AWS Direct Connect crea el rol vinculado al servicio en su nombre. Al ejecutar el comando associate-mac-sec-key, AWS crea un rol vinculado al servicio que permite a AWS Direct Connect recuperar los secretos de MACsec que se encuentran almacenados en su nombre en AWS Secrets Manager en la AWS Management Console, la AWS CLI o la API de AWS.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. AWS Direct Connect vuelve a crear el rol vinculado al servicio en su nombre.

También puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de uso de AWS Direct Connect. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio directconnect.amazonaws.com. Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Modificación de un rol vinculado a servicios de AWS Direct Connect

AWS Direct Connect no le permite editar el rol vinculado a servicios AWSServiceRoleForDirectConnect. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de AWS Direct Connect

No es necesario eliminar manualmente el rol de AWSServiceRoleForDirectConnect. Al eliminar el rol vinculado al servicio, debe eliminar todos los recursos asociados que se encuentran almacenados en el servicio web de AWS Secrets Manager. Si utiliza la AWS Management Console, la AWS CLI o la API de AWS, AWS Direct Connect elimina los recursos y el rol vinculado al servicio de forma automática.

También puede utilizar la consola de IAM para eliminar el rol vinculado al servicio. Para ello, primero debe eliminar de forma manual los recursos del rol vinculado al servicio y luego podrá eliminarlo.

nota

Si el servicio AWS Direct Connect está utilizando el rol cuando intenta eliminar los recursos, la eliminación puede producir un error. En ese caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de AWS Direct Connect que se utilizan en AWSServiceRoleForDirectConnect

  1. Elimine la asociación entre todas las claves y conexiones de MACsec. Para obtener más información, consulte Elimine la asociación entre una clave MACsec secreta y una AWS Direct Connect conexión

  2. Elimine la asociación entre todas las claves de MACsec y LAG. Para obtener más información, consulte Eliminar la asociación entre una clave secreta de MACsec y un LAG de punto de conexión de AWS Direct Connect

Para eliminar manualmente el rol vinculado al servicio mediante IAM

Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de AWSServiceRoleForDirectConnect. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a un servicio de AWS Direct Connect

AWS Direct Connect admite el uso de roles vinculados al servicio en todas las Regiones de AWS en las que se encuentra disponible la característica de seguridad de MAC. Para obtener más información, consulte Ubicaciones de AWS Direct Connect.