Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice funciones vinculadas a servicios para Amazon Lightsail

Amazon Lightsail AWS Identity and Access Management utiliza funciones vinculadas a servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon Lightsail. Amazon Lightsail predefine las funciones vinculadas a servicios e incluyen todos los permisos que Lightsail necesita para llamar a otros servicios en su nombre. AWS

Un rol vinculado a un servicio facilita la configuración de Amazon Lightsail, ya que no es necesario añadir manualmente los permisos necesarios. Amazon Lightsail define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo Amazon Lightsail puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, que no se pueden adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus recursos de Amazon Lightsail porque no puedes retirar inadvertidamente el permiso de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado a servicios. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para Amazon Lightsail

Amazon Lightsail utiliza el rol vinculado al servicio denominado rol AWSServiceRoleForLightsailpara exportar instantáneas de discos de almacenamiento de bloques e instancias de Lightsail a Amazon Elastic Compute Cloud (Amazon EC2) Compute Cloud (Amazon EC2) y para obtener la configuración actual de acceso público en bloque a nivel de cuenta desde Amazon Simple Storage Service (Amazon S3) (Simple Storage Service (Amazon S3) (Simple Storage Service) (Amazon S3).

El rol vinculado al AWSServiceRoleForLightsail servicio confía en los siguientes servicios para asumir el rol:

La política de permisos de roles permite a Amazon Lightsail realizar las siguientes acciones en los recursos especificados:

Permisos de roles vinculados a servicios

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear o editar la descripción de un rol vinculado a un servicio.

Para permitir a una entidad de IAM que cree un rol vinculado a un servicio específico

Agregue la siguiente política a la entidad de IAM que necesite crear el rol vinculado con un servicio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
        }
    ]
}
    

Para permitir a una entidad de IAM crear un rol vinculado a cualquier servicio

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite crear un rol vinculado con un servicio o cualquier función de servicio que incluya las políticas necesarias. Esta política asocia una política al rol.

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
    

Para permitir a una entidad IAM editar la descripción de cualquier función de servicio de servicio

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite editar la descripción de un rol vinculado con un servicio o cualquier función de servicio.

{
    "Effect": "Allow",
    "Action": "iam:UpdateRoleDescription",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
    

Para permitir a una entidad de IAM eliminar un rol vinculado a un servicio específico

agregue la siguiente instrucción a la política de permisos de la entidad de IAM entidad que necesita eliminar el rol vinculado con el servicio.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
    

Cómo permitir a una entidad de IAM eliminar cualquier rol de servicio

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que tiene que eliminar un rol vinculado a un servicio o cualquier rol de servicio.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
    

Como alternativa, puede utilizar una política AWS gestionada para proporcionar acceso total al servicio.

Creación de un rol vinculado a un servicio para Amazon Lightsail

No necesita crear manualmente un rol vinculado a servicios. Al exportar su instancia de Lightsail o la instantánea del disco de almacenamiento en bloque a Amazon EC2, o al crear o actualizar un bucket de Lightsail en la, la o AWS AWS Management Console la API AWS , Amazon Lightsail crea el AWS CLI rol vinculado al servicio automáticamente.

Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al exportar la instancia de Lightsail o la instantánea del disco de almacenamiento en bloque a Amazon EC2, o al crear o actualizar un bucket de Lightsail, Amazon Lightsail vuelve a crear el rol vinculado al servicio para usted.

Edición de un rol vinculado a un servicio para Amazon Lightsail

Amazon Lightsail no le permite editar AWSServiceRoleForLightsail el rol vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminar un rol vinculado a un servicio para Amazon Lightsail

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe confirmar que no hay ninguna instancia de Amazon Lightsail ni ninguna instantánea de disco en estado de copia pendiente antes de poder eliminar la función vinculada al servicio. AWSServiceRoleForLightsail Para obtener más información, consulte Exportación de instantáneas a Amazon EC2.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la o la AWS API para AWS CLI eliminar la función vinculada al servicio. AWSServiceRoleForLightsail Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles con las funciones vinculadas a Amazon Lightsail Service

Amazon Lightsail admite el uso de funciones vinculadas a un servicio en todas las regiones en las que el servicio esté disponible. Para obtener más información sobre las regiones en las que Lightsail está disponible, consulte Regiones de Amazon Lightsail.