Roles vinculados a servicios en clústeres elásticos - Amazon DocumentDB

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Roles vinculados a servicios en clústeres elásticos

Los clústeres elásticos de Amazon DocumentDB utilizan AWS Identity and Access Management (IAM) funciones vinculadas a servicios. Un rol vinculado a un servicio es un tipo de IAM rol único que está vinculado directamente a los clústeres elásticos de Amazon DocumentDB. Los clústeres elásticos de Amazon DocumentDB predefinen las funciones vinculadas a servicios e incluyen todos los permisos que el servicio necesita para llamar a AWS otros servicios en su nombre.

Un rol vinculado a servicios simplifica la configuración de Amazon DocumentDB porque ya no tendrá que agregar manualmente los permisos necesarios. Los clústeres elásticos de Amazon DocumentDB definen los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo los clústeres elásticos de Amazon DocumentDB pueden asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra entidad. IAM Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma, se protegen los recursos de los clústeres elásticos de Amazon DocumentDB, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS los servicios que funcionan con IAM y busque los servicios marcados con el en la columna Función vinculada al servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de rol vinculado a servicios para clústeres elásticos

Los clústeres elásticos de Amazon DocumentDB utilizan el rol vinculado al servicio denominado para permitir que los clústeres elásticos de AWS ServiceRoleForDocDB-Elastic Amazon DocumentDB llamen a los AWS servicios en nombre de sus clústeres.

Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonDocDB-ElasticServiceRolePolicy que le otorga permisos para operar en su cuenta. La política de permisos del rol permite que los clústeres elásticos de Amazon DocumentDB realicen las siguientes acciones en los recursos especificados:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
nota

Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Si aparece el siguiente mensaje de error: “No se puede crear el recurso. Verifique que tiene permiso para crear el rol vinculado al servicio. De lo contrario, espere y vuelva a intentarlo más tarde”., asegúrese de tener habilitados los siguientes permisos:

{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName":"docdb-elastic.amazonaws.com" } } }

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de la gestión de identidades y accesos de AWS .

Creación de un rol vinculado a servicio para los clústeres elásticos de Amazon DocumentDB

No necesita crear manualmente un rol vinculado a servicios. Cuando crea una instancia de base de datos, los clústeres elásticos de Amazon DocumentDB vuelven a crear por usted el rol vinculado al servicio.

Edición de un rol vinculado a servicio para los clústeres elásticos de Amazon DocumentDB

Los clústeres elásticos de Amazon DocumentDB no permiten editar el rol vinculado a servicios de AWS ServiceRoleForDocDB-Elastic. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de roles vinculados a servicios en la Guía del usuario de la gestión de identidades y accesos de AWS .

Eliminación de un rol vinculado a servicio para los clústeres elásticos de Amazon DocumentDB

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los clústeres para poder eliminar el rol vinculado al servicio.

Saneamiento de un rol vinculado a servicios

Antes de poder utilizarla IAM para eliminar una función vinculada a un servicio, primero debe confirmar que la función no tiene sesiones activas y eliminar todos los recursos que utilice la función.

Para comprobar si el rol vinculado al servicio tiene una sesión activa en la consola: IAM

  1. Inicie sesión en la consola AWS Management Consoley ábrala. IAM

  2. En el panel de navegación de la IAM consola, selecciona Roles. A continuación, seleccione el nombre (no la casilla de verificación) del rol de AWS ServiceRoleForDocDB-Elastic.

  3. En la página Summary (Resumen) del rol seleccionado, elija la pestaña Access Advisor (Acceso a Advisor).

nota

Si no está seguro de si los clústeres elásticos de Amazon DocumentDB utilizan el rol AWS ServiceRoleForDocDB-Elastic, puede intentar eliminar el rol para comprobarlo. Si el servicio utiliza el rol, se produce un error al eliminarlo y podrá ver Regiones de AWS dónde se está utilizando el rol. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a servicios.

Si desea eliminar el rol AWS ServiceRoleForDocDB-Elastic, primero debe eliminar todos sus clústeres.

Eliminación de todos los clústeres

Para eliminar un clúster en la consola de Amazon DocumentDB:

  1. Inicie sesión en la AWS Management Console de Amazon DocumentDB y ábrala.

  2. En el panel de navegación, seleccione Clusters (Clústeres).

  3. Elija el clúster que desea eliminar.

  4. En Actions (Acciones), seleccione Delete (Eliminar).

  5. Si aparece el mensaje ¿Crear instantánea final?, elija o No.

  6. Si eligió Yes (Sí) en el paso anterior, en Final snapshot name (Nombre de instantánea final) escriba el nombre de la instantánea final.

  7. Elija Eliminar.

nota

Puede usar la IAM consola IAMCLI, la o la IAM API para eliminar la función AWS ServiceRoleForDocDB-Elastic vinculada al servicio. Para obtener más información, consulte Eliminación de roles vinculados a servicios en la Guía del usuario de la gestión de identidades y accesos de AWS .