Aviso de fin de soporte: el 7 de octubre de 2026, AWS suspenderemos el soporte para AWS IoT Greengrass Version 1. Después del 7 de octubre de 2026, ya no podrá acceder a los AWS IoT Greengrass V1 recursos. Para obtener más información, visita [Migrar desde AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html).

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Rol de servicio de Greengrass
<a name="service-role"></a>

El rol de servicio de Greengrass es un rol de servicio AWS Identity and Access Management (IAM) que autoriza el acceso AWS IoT Greengrass a los recursos de los AWS servicios en su nombre. Esto le permite AWS IoT Greengrass realizar tareas esenciales, como recuperar sus AWS Lambda funciones y gestionar las sombras. AWS IoT 

Para permitir el acceso AWS IoT Greengrass a sus recursos, la función de servicio de Greengrass debe estar asociada a la suya Cuenta de AWS y especificarse AWS IoT Greengrass como entidad de confianza. El rol debe incluir la política [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy)administrada o una política personalizada que defina permisos equivalentes para las AWS IoT Greengrass funciones que utilice. Esta política la mantiene AWS y define el conjunto de permisos que se AWS IoT Greengrass utilizan para acceder a AWS los recursos.

Puedes reutilizar el mismo rol de servicio de Greengrass en todos Región de AWS los servidores, pero debes asociarlo a tu cuenta en todos los Región de AWS lugares donde lo utilices. AWS IoT Greengrass El despliegue grupal falla si el rol de servicio no existe en la región actual Cuenta de AWS .

En las siguientes secciones se describe cómo crear y administrar el rol de servicio de Greengrass en el Consola de administración de AWS quirófano. AWS CLI
+ [Administración del rol de servicio (consola)](#manage-service-role-console)
+ [Administración del rol de servicio (CLI)](#manage-service-role-cli)

**nota**  
Además del rol de servicio que autoriza el acceso a nivel de servicio, puede asignar un *rol de grupo a un grupo*. AWS IoT Greengrass La función de grupo es una función de IAM independiente que controla la forma en que las funciones de Greengrass Lambda y los conectores del grupo pueden acceder a los servicios. AWS 

## Administración del rol de servicio de Greengrass (consola)
<a name="manage-service-role-console"></a>

La AWS IoT consola facilita la administración de su función de servicio de Greengrass. Por ejemplo, cuando crea o despliega un grupo de Greengrass, la consola comprueba si Cuenta de AWS está vinculado a un rol de servicio de Greengrass en el Región de AWS que está actualmente seleccionado en la consola. De lo contrario, la consola puede crear y configurar un rol de servicio por usted. Para obtener más información, consulte [Creación del rol de servicio de Greengrass (consola)](#create-service-role-console).

Puede usar la AWS IoT consola para las siguientes tareas de administración de roles:
+ [Buscar el rol de servicio de Greengrass](#get-service-role-console)
+ [Creación del rol de servicio de Greengrass](#create-service-role-console)
+ [Cambiar el rol de servicio de Greengrass](#update-service-role-console)
+ [Desasociar el rol de servicio de Greengrass](#remove-service-role-console)

**nota**  
El usuario que ha iniciado sesión en la consola debe tener permisos para ver, crear o cambiar el rol de servicio.

 

### Buscar el rol de servicio de Greengrass (consola)
<a name="get-service-role-console"></a>

Siga los pasos siguientes para buscar el rol de servicio que AWS IoT Greengrass se está utilizando en el actual Región de AWS.

1. <a name="iot-settings"></a>En el panel de navegación de la [consola de AWS IoT](https://console.aws.amazon.com/iot/), seleccione **Configuración**.

1. Desplácese hasta la sección **Greengrass service role (Rol de servicio de Greengrass)** para ver el rol de servicio y sus políticas.

   Si no ve ningún rol de servicio, puede dejar que la consola cree o configure uno por usted. Para obtener más información, consulte [Creación del rol de servicio de Greengrass](#create-service-role-console).

 

### Creación del rol de servicio de Greengrass (consola)
<a name="create-service-role-console"></a>

La consola puede crear y configurar un rol de servicio de Greengrass predeterminado por usted. Este rol incluye las siguientes propiedades.


| Propiedad | Valor | 
| --- | --- | 
| Name | Greengrass\$1ServiceRole | 
| Entidad de confianza | AWS service: greengrass | 
| Política | [ AWSGreengrassResourceAccessRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy) | 

**nota**  
Si la [configuración del dispositivo de Greengrass](quick-start.md) crea el rol de servicio, el nombre del rol es `GreengrassServiceRole_random-string`.

Cuando crea o despliega un grupo de Greengrass desde la AWS IoT consola, la consola comprueba si hay un rol de servicio de Greengrass asociado al suyo Cuenta de AWS en el Región de AWS que esté actualmente seleccionado en la consola. De lo contrario, la consola le solicitará que permita AWS IoT Greengrass leer y escribir en los AWS servicios en su nombre.

Si concede permiso, la consola comprueba si existe un rol denominado `Greengrass_ServiceRole` en su Cuenta de AWS.
+ Si la función existe, la consola le asigna la función de servicio a la suya Cuenta de AWS en la actual. Región de AWS
+ Si el rol no existe, la consola crea un rol de servicio de Greengrass predeterminado y lo adjunta al tuyo Cuenta de AWS en el actual. Región de AWS

**nota**  
Si desea crear un rol de servicio con políticas de rol personalizadas, utilice la consola de IAM para crear o modificar el rol. Para obtener más información, consulte [Crear un rol para delegar permisos a un AWS servicio o Modificar un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) [rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) en la Guía del usuario de *IAM*. Asegúrese de que el rol concede permisos equivalentes a la política administrada de `AWSGreengrassResourceAccessRolePolicy` para las características y recursos que utiliza. Le recomendamos que incluya también las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` en su política de confianza para ayudar a prevenir el problema de seguridad del *suplente confuso*. Las claves de contexto de condición restringen el acceso para permitir solo las solicitudes que provienen de la cuenta especificada y del espacio de trabajo de Greengrass. Para obtener más información sobre el problema del suplente confuso, consulte [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md).  
Si crea un rol de servicio, vuelva a la AWS IoT consola y asocie el rol al grupo. Puede hacerlo en el **rol de servicio de Greengrass** en la página **Configuración** del grupo.

 

### Cambiar el rol de servicio de Greengrass (consola)
<a name="update-service-role-console"></a>

Utilice el siguiente procedimiento para elegir una función de servicio de Greengrass diferente y asociarla a la suya Cuenta de AWS en la que esté seleccionada Región de AWS actualmente en la consola.

1. <a name="iot-settings"></a>En el panel de navegación de la [consola de AWS IoT](https://console.aws.amazon.com/iot/), seleccione **Configuración**.

1. En **Rol de servicio de Greengrass**, seleccione **Elegir un rol diferente**.

   Se abre el cuadro de diálogo **Actualizar el rol de servicio de Greengrass** y muestra los roles de IAM Cuenta de AWS que se definen AWS IoT Greengrass como una entidad de confianza.

1. Elija el rol de servicio de Greengrass que desee asignar.

1. Elija **Adjuntar rol**.

**nota**  
Para permitir que la consola cree un rol de servicio de Greengrass predeterminado por usted, seleccione **Create role for me (Crear rol por mí)** en lugar de seleccionar un rol de la lista. El enlace **Crear rol por mí** no aparece si hay un rol denominado `Greengrass_ServiceRole` en su Cuenta de AWS.

 

### Desasociar el rol de servicio de Greengrass (consola)
<a name="remove-service-role-console"></a>

Utilice el siguiente procedimiento para separar la función de servicio de Greengrass de la que está actualmente seleccionada en Región de AWS la Cuenta de AWS consola. Esto revoca los permisos de acceso AWS IoT Greengrass a AWS los servicios actuales. Región de AWS

**importante**  
La desasociación del rol de servicio podría interrumpir las operaciones activas.

1. <a name="iot-settings"></a>En el panel de navegación de la [consola de AWS IoT](https://console.aws.amazon.com/iot/), seleccione **Configuración**.

1. En **Rol de servicio de Greengras**, seleccione **Desasociar rol**.

1. En el cuadro de diálogo de confirmación, elija **Desconectar**.

**nota**  
Si ya no necesita el rol, puede eliminarlo en la consola de IAM. Para obtener más información, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.  
Es posible que otras funciones te permitan acceder AWS IoT Greengrass a tus recursos. Para buscar todos los roles que permiten que AWS IoT Greengrass asuma los permisos en su nombre, en la consola de IAM, en la página **Roles**, busque los roles que incluyan **AWS service: greengrass** en la columna **Entidades de confianza**.

## Administración del rol de servicio de Greengrass (CLI)
<a name="manage-service-role-cli"></a>

En los siguientes procedimientos, asumimos que AWS CLI está instalado y configurado para usar su Cuenta de AWS ID. Para obtener más información, consulte [Instalación de la interfaz de línea de AWS comandos](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) y [Configuración de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) en la *Guía del AWS Command Line Interface usuario*.

Puede utilizarla AWS CLI para las siguientes tareas de administración de roles:
+ [Obtener el rol de servicio de Greengrass](#get-service-role)
+ [Creación del rol de servicio de Greengrass](#create-service-role)
+ [Eliminar el rol de servicio de Greengrass](#remove-service-role)

 

### Obtener el rol de servicio de Greengrass (CLI)
<a name="get-service-role"></a>

Utilice el siguiente procedimiento para averiguar si un rol de servicio de Greengrass está asociado a usted Cuenta de AWS en un. Región de AWS
+ Obtenga el rol de servicio. *region*Sustitúyalo por su Región de AWS (por ejemplo,`us-west-2`).

  ```
  aws Greengrass get-service-role-for-account --region region
  ```

  Si ya hay un rol de servicio de Greengrass asociado a su cuenta, se devuelven los siguientes metadatos de rol.

  ```
  {
    "AssociatedAt": "timestamp",
    "RoleArn": "arn:aws:iam::account-id:role/path/role-name"
  }
  ```

  Si no se devuelve ningún metadato de rol, entonces debe crear el rol de servicio (si no existe) y asociarlo a su cuenta en la Región de AWS.

 

### Creación del rol de servicio de Greengrass (CLI)
<a name="create-service-role"></a>

Siga los pasos que se indican a continuación para crear un rol y asociarlo a su Cuenta de AWS.

**Para crear el rol de servicio mediante IAM**

1. Cree el rol con una política de confianza que AWS IoT Greengrass permita asumir el rol. Este ejemplo crea un rol denominado `Greengrass_ServiceRole`, pero puede utilizar un nombre distinto. Le recomendamos que incluya también las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` en su política de confianza para ayudar a prevenir el problema de seguridad del *suplente confuso*. Las claves de contexto de condición restringen el acceso para permitir solo las solicitudes que provienen de la cuenta especificada y del espacio de trabajo de Greengrass. Para obtener más información sobre el problema del suplente confuso, consulte [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md).

------
#### [ Linux, macOS, or Unix ]

   ```
   aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document '{
     "Version": "2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "greengrass.amazonaws.com"
         },
         "Action": "sts:AssumeRole",
         "Condition": {
           "StringEquals": {
             "aws:SourceAccount": "account-id"
           },
           "ArnLike": {
             "aws:SourceArn": "arn:aws:greengrass:region:account-id:*"
           }
         }
       }
     ]
   }'
   ```

------
#### [ Windows command prompt ]

   ```
   aws iam create-role --role-name Greengrass_ServiceRole --assume-role-policy-document "{\"Version\":\"2012-10-17\",		 	 	 \"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"greengrass.amazonaws.com\"},\"Action\":\"sts:AssumeRole\",\"Condition\":{\"ArnLike\":{\"aws:SourceArn\":\"arn:aws:greengrass:region:account-id:*\"},\"StringEquals\":{\"aws:SourceAccount\":\"account-id\"}}}]}"
   ```

------

1. Copie el ARN del rol de los metadatos del rol en la salida. Puede utilizar el ARN para asociar el rol a su cuenta.

1. Asocie la política de `AWSGreengrassResourceAccessRolePolicy` al rol.

   ```
   aws iam attach-role-policy --role-name Greengrass_ServiceRole --policy-arn arn:aws:iam::aws:policy/service-role/AWSGreengrassResourceAccessRolePolicy
   ```

**Para asociar el rol de servicio a su Cuenta de AWS**
+ Asocie el rol a su cuenta. *role-arn*Sustitúyalo por el ARN del rol de servicio y *region* por el tuyo Región de AWS (por ejemplo,`us-west-2`).

  ```
  aws greengrass associate-service-role-to-account --role-arn role-arn --region region
  ```

  Si se ejecuta correctamente, se devuelve la siguiente respuesta.

  ```
  {
    "AssociatedAt": "timestamp"
  }
  ```

 

### Eliminar el rol de servicio de Greengrass (CLI)
<a name="remove-service-role"></a>

Utilice los pasos siguientes para desasociar el rol de servicio de Greengrass de su Cuenta de AWS.
+ Desasocie el rol de servicio de su cuenta. *region*Sustitúyalo por su Región de AWS (por ejemplo,`us-west-2`).

  ```
  aws greengrass disassociate-service-role-from-account --region region
  ```

  Si se ejecuta correctamente, se devuelve la siguiente respuesta.

  ```
  {
    "DisassociatedAt": "timestamp"
  }
  ```
**nota**  
Deberías eliminar la función de servicio si no la utilizas en ninguna Región de AWS. Use primero [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html) para desasociar la política administrada `AWSGreengrassResourceAccessRolePolicy` del rol y, a continuación, utilice [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html) para eliminar el rol. Para obtener más información, consulte [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*.

## Véase también
<a name="service-role-see-also"></a>
+ [Crear un rol para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la Guía del *usuario de IAM*
+ [Modificación de un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) en la *Guía del usuario de IAM*
+ [Eliminación de roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html) en la *Guía del usuario de IAM*
+ AWS IoT Greengrass comandos de la Referencia de *AWS CLI comandos*
  + [associate-service-role-to-cuenta](https://docs.aws.amazon.com/cli/latest/reference/greengrass/associate-service-role-to-account.html)
  + [disassociate-service-role-from-cuenta](https://docs.aws.amazon.com/cli/latest/reference/greengrass/disassociate-service-role-from-account.html)
  + [get-service-role-for-cuenta](https://docs.aws.amazon.com/cli/latest/reference/greengrass/get-service-role-for-account.html)
+ Comandos de IAM en la *Referencia de los comandos de AWS CLI *
  + [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
  + [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
  + [delete-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role.html)
  + [delete-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-role-policy.html)