Uso de roles vinculados a servicios para Centro de identidades de IAM - AWS IAM Identity Center
Permisos de roles vinculados a servicios para Centro de identidades de IAMCreación de un rol vinculado a servicios para Centro de identidades de IAMEdición de un rol vinculado a servicios para Centro de identidades de IAMEliminación de un rol vinculado a servicios para Centro de identidades de IAM

Uso de roles vinculados a servicios para Centro de identidades de IAM

AWS IAM Identity Center usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Centro de identidades de IAM. Está predefinido por Centro de identidades de IAM e incluye todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre. Para obtener más información, consulte Entender los roles vinculados a servicios en Centro de identidades de IAM.

Un rol vinculado a servicios simplifica la configuración de Centro de identidades de IAM porque ya no tendrá que agregar manualmente los permisos necesarios. Centro de identidades de IAM define los permisos de su rol vinculado a servicios y, a menos que esté definido de otra manera, solo Centro de identidades de IAM puede asumir su rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service Linked Role (Rol vinculado a servicios). Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios para Centro de identidades de IAM

Centro de identidades de IAM utiliza el rol vinculado a servicios llamado AWSServiceRoleForSSO para conceder permisos de Centro de identidades de IAM a fin de administrar los recursos de AWS, incluidos los roles de IAM, las políticas y el proveedor de identidad SAML en su nombre.

El rol vinculado a servicios AWSServiceRoleForSSO depende de los siguientes servicios para asumir el rol:

  • Centro de identidades de IAM (prefijo de servicio: sso)

La política de permisos del rol vinculado a servicios AWSServiceRoleForSSO permite que Centro de identidades de IAM realice las siguientes acciones en los roles en la ruta "/aws-reserved/sso.amazonaws.com/” and with the name prefix “AWSReservedSSO_":

  • iam:AttachRolePolicy

  • iam:CreateRole

  • iam:DeleteRole

  • iam:DeleteRolePermissionsBoundary

  • iam:DeleteRolePolicy

  • iam:DetachRolePolicy

  • iam:GetRole

  • iam:ListRolePolicies

  • iam:PutRolePolicy

  • iam:PutRolePermissionsBoundary

  • iam:ListAttachedRolePolicies

La política de permisos del rol vinculado a servicios AWSServiceRoleForSSO permite que Centro de identidades de IAM realice las siguientes acciones en los proveedores SAML con el prefijo del nombre "AWSSSO_":

  • iam:CreateSAMLProvider

  • iam:GetSAMLProvider

  • iam:UpdateSAMLProvider

  • iam:DeleteSAMLProvider

La política de permisos del rol vinculado a servicios AWSServiceRoleForSSO permite que Centro de identidades de IAM realice las siguientes acciones en todas las organizaciones:

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListDelegatedAdministrators

La política de permisos del rol vinculado a servicios AWSServiceRoleForSSO permite que Centro de identidades de IAM realice las siguientes acciones en todos los roles de IAM (*):

  • iam:listRoles

La política de permisos del rol vinculado a servicios AWSServiceRoleForSSO permite que Centro de identidades de IAM realice las siguientes acciones en "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO":

  • iam:GetServiceLinkedRoleDeletionStatus

  • iam:DeleteServiceLinkedRole

La política de permisos del rol permite que Centro de identidades de IAM realice las siguientes acciones en los recursos.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"IAMRoleProvisioningActions",
         "Effect":"Allow",
         "Action":[
            "iam:AttachRolePolicy",
            "iam:CreateRole",
            "iam:DeleteRolePermissionsBoundary",
            "iam:PutRolePermissionsBoundary",
            "iam:PutRolePolicy",
            "iam:UpdateRole",
            "iam:UpdateRoleDescription",
            "iam:UpdateAssumeRolePolicy"
         ],
         "Resource":[
            "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
         ],
         "Condition":{
            "StringNotEquals":{
               "aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}"
            }
         }
      },
      {
         "Sid":"IAMRoleReadActions",
         "Effect":"Allow",
         "Action":[
            "iam:GetRole",
            "iam:ListRoles"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"IAMRoleCleanupActions",
         "Effect":"Allow",
         "Action":[
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy",
            "iam:ListRolePolicies",
            "iam:ListAttachedRolePolicies"
         ],
         "Resource":[
            "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
         ]
      },
      {
         "Sid":"IAMSLRCleanupActions",
         "Effect":"Allow",
         "Action":[
            "iam:DeleteServiceLinkedRole",
            "iam:GetServiceLinkedRoleDeletionStatus",
            "iam:DeleteRole",
            "iam:GetRole"
         ],
         "Resource":[
            "arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO"
         ]
      },
      {
        "Sid": "IAMSAMLProviderCreationAction",
        "Effect": "Allow",
        "Action": [
          "iam:CreateSAMLProvider"
      ],
      "Resource": [
         "arn:aws:iam::*:saml-provider/AWSSSO_*"
       ],
      "Condition": {
         "StringNotEquals": {
            "aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}"
          }
        }
      },
      {
        "Sid": "IAMSAMLProviderUpdateAction",
        "Effect": "Allow",
        "Action": [
          "iam:UpdateSAMLProvider"
        ],
        "Resource": [
           "arn:aws:iam::*:saml-provider/AWSSSO_*"
        ]
      }, 
      {
         "Sid":"IAMSAMLProviderCleanupActions",
         "Effect":"Allow",
         "Action":[
            "iam:DeleteSAMLProvider",
            "iam:GetSAMLProvider"
         ],
         "Resource":[
            "arn:aws:iam::*:saml-provider/AWSSSO_*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListDelegatedAdministrators"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowUnauthAppForDirectory",
         "Effect":"Allow",
         "Action":[
            "ds:UnauthorizeApplication"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowDescribeForDirectory",
         "Effect":"Allow",
         "Action":[
            "ds:DescribeDirectories",
            "ds:DescribeTrusts"
         ],
         "Resource":[
            "*"
         ]
      },
      {
         "Sid":"AllowDescribeAndListOperationsOnIdentitySource",
         "Effect":"Allow",
         "Action":[
            "identitystore:DescribeUser",
            "identitystore:DescribeGroup",
            "identitystore:ListGroups",
            "identitystore:ListUsers"
         ],
         "Resource":[
            "*"
         ]
      }
   ]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a servicios para Centro de identidades de IAM

No necesita crear manualmente un rol vinculado a servicios. Una vez activado, Centro de identidades de IAM crea un rol vinculado a servicios en todas las cuentas de la organización en AWS Organizations. Centro de identidades de IAM también crea el mismo rol vinculado a servicios en todas las cuentas que se añaden posteriormente a su organización. Este rol permite a Centro de identidades de IAM acceder a los recursos de cada cuenta en su nombre.

Notas

  • Si ha iniciado sesión en la cuenta de administración de AWS Organizations, esta utilizará el rol con el que ha iniciado sesión actualmente y no con el rol vinculado a servicios. De este modo se evita la escalada de privilegios.

  • Cuando Centro de identidades de IAM realiza cualquier operación de IAM en la cuenta de administración de AWS Organizations, todas las operaciones se realizan con las credenciales de la entidad principal de IAM. Esto permite que los registros de CloudTrail proporcionen visibilidad de quién realizó todos los cambios de privilegios en la cuenta de administración.

importante

Si utilizaba el servicio de Centro de identidades de IAM antes del 7 de diciembre de 2017, fecha en que comenzó a admitir los roles vinculados a servicios, entonces Centro de identidades de IAM creó el rol AWSServiceRoleForSSO en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede seguir el mismo proceso para volver a crear el rol en su cuenta.

Edición de un rol vinculado a servicios para Centro de identidades de IAM

Centro de identidades de IAM no le permite modificar el rol vinculado a servicios AWSServiceRoleForSSO. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicios para Centro de identidades de IAM

No es necesario eliminar de forma manual el rol AWSServiceRoleForSSO. Cuando se elimina una Cuenta de AWS de una organización de AWS, Centro de identidades de IAM limpia automáticamente los recursos y elimina el rol vinculado a servicios de esa Cuenta de AWS.

También puede utilizar la consola de IAM, la CLI de IAM o la API de IAM para eliminar manualmente el rol vinculado a servicios. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.

nota

Si el servicio Centro de identidades de IAM está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Cómo eliminar recursos de Centro de identidades de IAM utilizados por AWSServiceRoleForSSO

  1. Eliminación del acceso de usuarios y grupos a una Cuenta de AWS para todos los usuarios y grupos que tengan acceso a la Cuenta de AWS.

  2. Eliminación de conjuntos de permisos de Centro de identidades de IAM que ha asociado con la Cuenta de AWS.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios AWSServiceRoleForSSO. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.