Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados a servicios para Amazon Lightsail
Amazon Lightsail usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Amazon Lightsail. Los roles vinculados a servicios están predefinidos por Amazon Lightsail e incluyen todos los permisos que Lightsail necesita para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica la configuración de Amazon Lightsail porque ya no tendrá que añadir manualmente los permisos necesarios. Amazon Lightsail define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon Lightsail puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, que no se pueden adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon Lightsail, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado a servicios. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de roles vinculados a servicios para Amazon Lightsail
Amazon Lightsail utiliza el rol vinculado al servicio llamado AWSServiceRoleForLightsail para exportar instantáneas de discos de almacenamiento de bloques e instancias de Lightsail a Amazon Elastic Compute Cloud (Amazon EC2) y para obtener la configuración de Bloqueo de acceso público actual de la cuenta desde Amazon Simple Storage Service (Amazon S3).
El rol vinculado al servicio AWSServiceRoleForLightsail depende de los siguientes servicios para asumir el rol:
-
lightsail.amazonaws.com
La política de permisos del rol permite que Amazon Lightsail realice las siguientes acciones en los recursos especificados:
-
Acción:
ec2:CopySnapshoten todos los recursos de AWS. -
Acción:
ec2:DescribeSnapshotsen todos los recursos de AWS. -
Acción:
ec2:CopyImageen todos los recursos de AWS. -
Acción:
ec2:DescribeImagesen todos los recursos de AWS. -
Acción:
cloudformation:DescribeStacksen todas las pilas de AWS AWS CloudFormation. -
Acción:
s3:GetAccountPublicAccessBlocken todos los recursos de AWS.
Permisos de roles vinculados a servicios
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear o editar la descripción de un rol vinculado a un servicio.
Para permitir a una entidad de IAM que cree un rol vinculado a un servicio específico
Agregue la siguiente política a la entidad de IAM que necesite crear el rol vinculado con un servicio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*", "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" } ] }
Para permitir a una entidad de IAM crear un rol vinculado a cualquier servicio
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite crear un rol vinculado con un servicio o cualquier función de servicio que incluya las políticas necesarias. Esta política asocia una política al rol.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Para permitir a una entidad IAM editar la descripción de cualquier función de servicio de servicio
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite editar la descripción de un rol vinculado con un servicio o cualquier función de servicio.
{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Para permitir a una entidad de IAM eliminar un rol vinculado a un servicio específico
agregue la siguiente instrucción a la política de permisos de la entidad de IAM entidad que necesita eliminar el rol vinculado con el servicio.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" }
Cómo permitir a una entidad de IAM eliminar cualquier rol de servicio
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que tiene que eliminar un rol vinculado a un servicio o cualquier rol de servicio.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
También puede usar una política administrada por AWS para conceder acceso completo al servicio.
Crear un rol vinculado a servicios para Amazon Lightsail
No necesita crear manualmente un rol vinculado a servicios. Al exportar la instancia de Lightsail o la instantánea del disco de almacenamiento en bloque a Amazon EC2, o al crear o actualizar un bucket de Lightsail en la AWS Management Console de AWS, la AWS CLI o la API de AWS, Amazon Lightsail crea automáticamente el rol vinculado al servicio.
Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al exportar la instancia de Lightsail o la instantánea del disco de almacenamiento en bloque a Amazon EC2, o al crear o actualizar un bucket de Lightsail, Amazon Lightsail crea automáticamente el rol vinculado al servicio.
importante
Debe configurar los permisos de IAM para permitir que Amazon Lightsail cree el rol vinculado al servicio. Para ello, siga los pasos que se indican en la siguiente sección Permisos de roles vinculados a servicios.
Edición de un rol vinculado a un servicio para Amazon Lightsail
Amazon Lightsail no permite editar el rol vinculado al servicio AWSServiceRoleForLightsail. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminar un rol vinculado a un servicio para Amazon Lightsail
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe confirmar que no hay ninguna instancia de Amazon Lightsail ni grupos de instantáneas de disco en estado de copia pendiente para poder eliminar el rol vinculado al servicio AWSServiceRoleForLightsail. Para obtener más información, consulte Exportación de instantáneas a Amazon EC2.
Eliminación manual del rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForLightsail. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados a servicios de Amazon Lightsail
Amazon Lightsail admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información sobre las regiones en las que está disponible Lightsail, consulte Regiones de Amazon Lightsail.
