Uso de roles vinculados a servicios para Incident Manager - Incident Manager
Permisos de roles vinculados a servicios para Incident ManagerCreación de un rol vinculado a servicios para Incident ManagerEdición de un rol vinculado a servicios para Incident ManagerEliminación de un rol vinculado a servicios para Incident ManagerRegiones admitidas para los roles vinculados a servicios de Incident Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Incident Manager

Administrador de incidentes de AWS Systems Manager utiliza funciones vinculadas al AWS Identity and Access Management servicio (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Incident Manager. Incident Manager predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.

Un rol vinculado a servicios facilita la configuración de Incident Manager porque no tiene que añadir manualmente los permisos necesarios. Incident Manager define los permisos de sus roles vinculados a servicios y, a menos que se defina de otro modo, solo Incident Manager puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus recursos de Incident Manager porque usted no puede eliminar inadvertidamente el permiso para acceder a los recursos.

Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-Linked Role (Rol vinculado a servicios). Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios para Incident Manager

Incident Manager utiliza el rol vinculado al servicio denominado. AWSServiceRoleforIncidentManager Esta función permite a Incident Manager gestionar los registros de incidentes del Incident Manager y los recursos relacionados en su nombre.

El rol AWSService RoleforIncidentManager vinculado al servicio confía en los siguientes servicios para asumir el rol:

  • ssm-incidents.amazonaws.com

La política de permisos del rol AWSIncidentManagerServiceRolePolicy permite a Incident Manager realizar las siguientes acciones en los recursos especificados:

  • Acción: ssm-incidents:ListIncidentRecords en todos los recursos relacionados con la acción.

  • Acción: ssm-incidents:CreateTimelineEvent en todos los recursos relacionados con la acción.

  • Acción: ssm:CreateOpsItem en todos los recursos relacionados con la acción.

  • Acción: ssm:AssociateOpsItemRelatedItem en all resources related to the action.

  • Acción: ssm-contacts:StartEngagement en todos los recursos relacionados con la acción.

  • Acción: cloudwatch:PutMetricData en CloudWatch las métricas incluidas en los espacios de nombres y AWS/IncidentManager AWS/Usage

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a servicios para Incident Manager

No necesita crear manualmente un rol vinculado a servicios. Al crear un conjunto de réplicas en la AWS Management Console, la API o la AWS API AWS CLI, Incident Manager crea automáticamente la función vinculada al servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un conjunto de réplica, Incident Manager vuelve a crear el rol vinculado a servicios por usted.

Edición de un rol vinculado a servicios para Incident Manager

Incident Manager no le permite editar el rol vinculado al AWSService RoleforIncidentManager servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicios para Incident Manager

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Para eliminar el rol vinculado a servicios, primero debe eliminar el conjunto de réplica. Al eliminar el conjunto de réplica se eliminan todos los datos creados y almacenados en Incident Manager, incluyendo los planes de respuesta, contactos y planes de escalada. También pierde todos los incidentes creados anteriormente. Las alarmas y EventBridge reglas que indiquen la eliminación de planes de respuesta dejarán de crear un incidente por alarma o de conformidad con las reglas. Para eliminar el conjunto de réplica debe eliminar todas las regiones del conjunto.

nota

Si el servicio de Incident Manager utiliza el rol al momento de intentar eliminar los recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar las regiones del conjunto de réplicas utilizado por el AWSService RoleforIncidentManager

  1. Abra la consola de Incident Manager y seleccione Configuración en el panel de navegación izquierdo.

  2. Seleccione una región en Conjunto de réplica.

  3. Elija Eliminar.

  4. Para confirmar la eliminación de la región, introduzca el nombre de la región y elija Eliminar.

  5. Repita estos pasos hasta que haya eliminado todas las regiones de su conjunto de réplica. Al eliminar la última región, la consola le notifica que con ella elimina el conjunto de réplica.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSService RoleforIncidentManager servicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a servicios de Incident Manager

Incident Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte AWS Puntos de conexión y regiones.