Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer
Systems Manager utiliza el rol vinculado a servicio denominado AWSServiceRoleForAmazonSSM_AccountDiscovery. AWS Systems Manager utiliza este rol de servicio de IAM para llamar a otros Servicios de AWS con objeto de descubrir información sobre la Cuenta de AWS.
Permisos de roles vinculados al servicio de detección de cuentas de Systems Manager
El rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscovery depende de los siguientes servicios para asumir el rol:
-
accountdiscovery.ssm.amazonaws.com
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
-
organizations:DescribeAccount -
organizations:DescribeOrganizationalUnit -
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListChildren -
organizations:ListParents -
organizations:ListDelegatedServicesForAccount -
organizations:ListDelegatedAdministrators -
organizations:ListRoots
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación del rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscovery de Systems Manager
Debe crear un rol vinculado a servicios si desea utilizar Explorer y OpsCenter, funciones de Systems Manager, en varias Cuentas de AWS. En OpsCenter, debe crear manualmente un rol vinculado a servicios. Para obtener más información, consulte (Opcional) Configuración de OpsCenter para administrar OpsItems de forma centralizada entre cuentas.
En Explorer, si crea una sincronización de datos de recursos mediante Systems Manager en la AWS Management Console, puede crear el rol vinculado a servicios mediante la elección del botón Create role (Crear rol). Si desea crear una sincronización de datos de recursos mediante programación, debe crear el rol antes de crear la sincronización de datos de recursos. Puede crear el rol con la operación CreateServiceLinkedRole de la API.
Modificación del rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscovery de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscovery. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación del rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscovery de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
Limpieza del rol vinculado al servicio de AWSServiceRoleForAmazonSSM_AccountDiscovery
Para poder utilizar IAM con objeto de eliminar el rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscovery, antes debe eliminar todas las sincronizaciones de datos del recurso de Explorer. Para obtener más información, consulte Eliminación de una sincronización de datos de recursos de Systems Manager Explorer.
nota
Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
Eliminar manualmente el rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscovery
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios de AWSServiceRoleForAmazonSSM_AccountDiscovery. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Regiones admitidas para el rol vinculado al servicio AWSServiceRoleForAmazonSSM_AccountDiscovery de Systems Manager
Systems Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de conexión y cuotas de AWS Systems Manager.
Actualizaciones del rol vinculado al servicio de AWSServiceRoleForAmazonSSM_AccountDiscovery
Puede consultar los detalles sobre las actualizaciones del rol vinculado al servicio de AWSServiceRoleForAmazonSSM_AccountDiscovery, ya que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Systems Manager Historial del documento.
| Cambio | Descripción | Fecha |
|---|---|---|
|
Nuevos permisos agregados |
Este rol vinculado a servicios ahora incluye los permisos |
17 de octubre de 2022 |
