Uso de roles vinculados a servicios para Incident Manager - Incident Manager
Permisos de roles vinculados a servicios para Incident ManagerCreación de un rol vinculado a servicios para Incident ManagerEdición de un rol vinculado a servicios para Incident ManagerEliminación de un rol vinculado a servicios para Incident ManagerRegiones admitidas para los roles vinculados a servicios de Incident Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Incident Manager

AWS Systems Manager Incident Manager uses AWS Identity and Access Management (IAM) funciones vinculadas al servicio. Un rol vinculado al servicio es un tipo único de IAM rol que está vinculado directamente a Incident Manager. Los roles vinculados al servicio están predefinidos por Incident Manager e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.

Un rol vinculado a servicios facilita la configuración de Incident Manager porque no tiene que añadir manualmente los permisos necesarios. Incident Manager define los permisos de sus roles vinculados a servicios y, a menos que se defina de otro modo, solo Incident Manager puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus recursos de Incident Manager porque usted no puede eliminar inadvertidamente el permiso para acceder a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios que funcionan con IAM y busca los servicios que tienen la palabra «Sí» en la columna Función vinculada al servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios para Incident Manager

Incident Manager utiliza el rol vinculado al servicio denominado Incident Manager AWSServiceRoleforIncidentManager, que permite a Incident Manager gestionar los registros de incidentes y los recursos relacionados en su nombre.

El rol AWSServiceRoleforIncidentManager vinculado al servicio confía en que los siguientes servicios asuman el rol:

  • ssm-incidents.amazonaws.com

La política de permisos del rol AWSIncidentManagerServiceRolePolicy permite a Incident Manager realizar las siguientes acciones en los recursos especificados:

  • Acción: ssm-incidents:ListIncidentRecords en todos los recursos relacionados con la acción.

  • Acción: ssm-incidents:CreateTimelineEvent en todos los recursos relacionados con la acción.

  • Acción: ssm:CreateOpsItem en todos los recursos relacionados con la acción.

  • Acción: ssm:AssociateOpsItemRelatedItem en all resources related to the action.

  • Acción: ssm-contacts:StartEngagement en todos los recursos relacionados con la acción.

  • Acción: cloudwatch:PutMetricData en CloudWatch las métricas del espacio de nombres AWS/IncidentManager

Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte Permisos de roles vinculados a un servicio en la Guía del usuario. IAM

Creación de un rol vinculado a servicios para Incident Manager

No necesita crear manualmente un rol vinculado a servicios. Al crear un conjunto de réplicas en el AWS Management Console, el AWS CLI, o el AWS API, Incident Manager crea el rol vinculado al servicio por usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un conjunto de réplica, Incident Manager vuelve a crear el rol vinculado a servicios por usted.

Edición de un rol vinculado a servicios para Incident Manager

Incident Manager no le permite editar el rol vinculado al AWSServiceRoleforIncidentManager servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminación de un rol vinculado a servicios para Incident Manager

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Para eliminar el rol vinculado a servicios, primero debe eliminar el conjunto de réplica. Al eliminar el conjunto de réplica se eliminan todos los datos creados y almacenados en Incident Manager, incluyendo los planes de respuesta, contactos y planes de escalada. También pierde todos los incidentes creados anteriormente. Las alarmas y EventBridge reglas que indiquen la eliminación de planes de respuesta dejarán de generar un incidente en caso de alarma o de conformidad con las reglas. Para eliminar el conjunto de réplica debe eliminar todas las regiones del conjunto.

nota

Si el servicio de Incident Manager utiliza el rol al momento de intentar eliminar los recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar las regiones del conjunto de réplicas utilizado por el AWSServiceRoleforIncidentManager

  1. Abra la consola de Incident Manager y seleccione Configuración en el panel de navegación izquierdo.

  2. Seleccione una región en Conjunto de réplica.

  3. Elija Eliminar.

  4. Para confirmar la eliminación de la región, introduzca el nombre de la región y elija Eliminar.

  5. Repita estos pasos hasta que haya eliminado todas las regiones de su conjunto de réplica. Al eliminar la última región, la consola le notifica que con ella elimina el conjunto de réplica.

Para eliminar manualmente el rol vinculado al servicio mediante IAM

Utilice la IAM consola, la AWS CLI, o el AWS APIpara eliminar el rol AWSServiceRoleforIncidentManager vinculado al servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM

Regiones admitidas para los roles vinculados a servicios de Incident Manager

Incident Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte AWS Regiones y puntos finales.