Uso de roles para la sincronización AWS Proton - AWS Proton
Permisos de roles vinculados al servicio para AWS ProtonCreación de un rol vinculado a un servicio de AWS ProtonModificación de un rol vinculado a servicios de AWS ProtonEliminación de un rol vinculado a un servicio de AWS ProtonRegiones admitidas para los roles vinculados a un servicio de AWS Proton

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles para la sincronización AWS Proton

AWS Proton usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado a un servicio es un tipo único de IAM rol al que se vincula directamente. AWS Proton Los roles vinculados al servicio están predefinidos AWS Proton e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.

Un rol vinculado a un servicio facilita la configuración AWS Proton , ya que no es necesario añadir manualmente los permisos necesarios. AWS Proton define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Proton puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus AWS Proton recursos porque no puedes eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulta los AWS servicios que funcionan con ellas IAM y busca los servicios con la palabra en la columna Funciones vinculadas a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados al servicio para AWS Proton

AWS Proton utiliza dos funciones vinculadas al servicio denominadas y. AWSServiceRoleForProtonSyncAWSServiceRoleForProtonServiceSync

El rol AWSServiceRoleForProtonSync vinculado al servicio confía en los siguientes servicios para asumir el rol:

  • sync.proton.amazonaws.com

La política de permisos de roles denominada AWSProtonSyncServiceRolePolicy permite AWS Proton realizar las siguientes acciones en los recursos especificados:

  • Acción: crear, administrar y leer en plantillas y versiones de plantillas de AWS Proton

  • Acción: utilizar la conexión en CodeConnections

Esta política incluye los permisos siguientes:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SyncToProton",
            "Effect": "Allow",
            "Action": [
                "proton:UpdateServiceTemplateVersion",
                "proton:UpdateServiceTemplate",
                "proton:UpdateEnvironmentTemplateVersion",
                "proton:UpdateEnvironmentTemplate",
                "proton:GetServiceTemplateVersion",
                "proton:GetServiceTemplate",
                "proton:GetEnvironmentTemplateVersion",
                "proton:GetEnvironmentTemplate",
                "proton:DeleteServiceTemplateVersion",
                "proton:DeleteEnvironmentTemplateVersion",
                "proton:CreateServiceTemplateVersion",
                "proton:CreateServiceTemplate",
                "proton:CreateEnvironmentTemplateVersion",
                "proton:CreateEnvironmentTemplate",
                "proton:ListEnvironmentTemplateVersions",
                "proton:ListServiceTemplateVersions",
                "proton:CreateEnvironmentTemplateMajorVersion",
                "proton:CreateServiceTemplateMajorVersion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessGitRepos",
            "Effect": "Allow",
            "Action": [
                "codestar-connections:UseConnection", 
                "codeconnections:UseConnection"
             ],
            "Resource": [
                "arn:aws:codestar-connections:*:*:connection/*",
                "arn:aws:codeconnections:*:*:connection/*"
            ]
        }
    ]
}

Para obtener información sobre la AWSProtonSyncServiceRolePolicy, consulte la política AWS administrada: AWSProtonSyncServiceRolePolicy.

El rol AWSServiceRoleForProtonServiceSync vinculado al servicio confía en los siguientes servicios para asumir el rol:

  • service-sync.proton.amazonaws.com

La política de permisos de roles denominada AWSServiceRoleForProtonServiceSync permite AWS Proton realizar las siguientes acciones en los recursos especificados:

  • Acción: crear, administrar y leer AWS Proton servicios e instancias de servicio

Esta política incluye los permisos siguientes:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "ProtonServiceSync",
			"Effect": "Allow",
			"Action": [
				"proton:GetService",
				"proton:UpdateService",
				"proton:UpdateServicePipeline",
				"proton:CreateServiceInstance",
				"proton:GetServiceInstance",
				"proton:UpdateServiceInstance",
				"proton:ListServiceInstances",
				"proton:GetComponent",
				"proton:CreateComponent",
				"proton:ListComponents",
				"proton:UpdateComponent",
				"proton:GetEnvironment",
				"proton:CreateEnvironment",
				"proton:ListEnvironments",
				"proton:UpdateEnvironment"
			],
			"Resource": "*"
		}
	]
}

Para obtener información sobre la AwsProtonServiceSyncServiceRolePolicy, consulte la política AWS administrada: AwsProtonServiceSyncServiceRolePolicy.

Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del usuario. IAM

Creación de un rol vinculado a un servicio de AWS Proton

No necesita crear manualmente un rol vinculado a servicios. Al configurar un repositorio o un servicio para que se sincronice AWS Management Console AWS CLI, el o el AWS API AWS Proton crea automáticamente el rol vinculado al servicio. AWS Proton

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al configurar un repositorio o servicio para sincronizarlo AWS Proton, vuelve a AWS Proton crear el rol vinculado al servicio automáticamente.

Para volver a crear el rol AWSServiceRoleForProtonSync vinculado al servicio, querrá configurar un repositorio para la sincronización y, para volver a crearlo AWSServiceRoleForProtonServiceSync, querrá configurar un servicio para la sincronización.

Modificación de un rol vinculado a servicios de AWS Proton

AWS Proton no le permite editar el rol vinculado al servicio. AWSServiceRoleForProtonSync Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminación de un rol vinculado a un servicio de AWS Proton

No es necesario eliminar el rol manualmente. AWSServiceRoleForProtonSync Al eliminar todos los repositorios AWS Proton enlazados para sincronizarlos AWS Management Console, el o el AWS CLI AWS API, se AWS Proton limpian los recursos y se elimina el rol vinculado al servicio.

Regiones admitidas para los roles vinculados a un servicio de AWS Proton

AWS Proton admite el uso de funciones vinculadas al servicio en todos los lugares en los que el servicio esté disponible. Regiones de AWS Para obtener más información, consulte Puntos de conexión y cuotas de AWS Proton en la Referencia general de AWS.