Uso de roles para crear OpsData y OpsItems para Explorer - AWS Systems Manager

Uso de roles para crear OpsData y OpsItems para Explorer

Systems Manager usa el rol vinculado a servicio denominado AWSServiceRoleForSystemsManagerOpsDataSync. AWS Systems Manager usa este rol de servicio de IAM para que Explorer cree OpsData y OpsItems.

Permisos de roles vinculados al servicio de sincronización de OpsData de Systems Manager

El rol vinculado al servicio AWSServiceRoleForSystemsManagerOpsDataSync depende de los siguientes servicios para asumir el rol:

  • opsdatasync.ssm.amazonaws.com

La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:

  • Systems Manager Explorer requiere que un rol vinculado al servicio otorgue permiso para actualizar una búsqueda de seguridad cuando se actualiza un OpsItem, que cree y actualice un OpsItem y que desactive el origen de datos de Security Hub cuando los clientes eliminen una regla administrada por SSM.

La política administrada que se utiliza para proporcionar permisos para el rol AWSServiceRoleForSystemsManagerOpsDataSync es AWSSystemsManagerOpsDataSyncServiceRolePolicy. Para obtener información detallada acerca de los permisos que concede, consulte Política administrada por AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol vinculado al servicio AWSServiceRoleForSystemsManagerOpsDataSync de Systems Manager

No necesita crear manualmente un rol vinculado a servicios. Cuando se habilita Explorer en la AWS Management Console, Systems Manager se encarga de crear el rol vinculado a servicio.

importante

Este rol vinculado a servicios se puede mostrar en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio de Systems Manager antes del 1 de enero de 2017, cuando comenzó a admitir los roles vinculados a servicios, Systems Manager creó el rol AWSServiceRoleForSystemsManagerOpsDataSync en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando se habilita Explorer en la AWS Management Console, Systems Manager se encarga de volver a crear el rol vinculado a servicio.

También puede utilizar la consola de IAM para crear un rol vinculado a servicios con el caso de uso del rol de servicio de AWS que permite que Explorer cree OpsData y OpsItems. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio opsdatasync.ssm.amazonaws.com. Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Modificación del rol vinculado al servicio AWSServiceRoleForSystemsManagerOpsDataSync de Systems Manager

Systems Manager no le permite modificar el rol vinculado al servicio AWSServiceRoleForSystemsManagerOpsDataSync. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación del rol vinculado al servicio AWSServiceRoleForSystemsManagerOpsDataSync de Systems Manager

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

El procedimiento para eliminar los recursos de Systems Manager que utiliza el rol AWSServiceRoleForSystemsManagerOpsDataSync depende de si ha configurado Explorer o OpsCenter para integrarse en Security Hub.

Para eliminar los recursos de Systems Manager que se utiliza el rol AWSServiceRoleForSystemsManagerOpsDataSync
  • Para impedir que Explorer cree nuevos OpsItems para los resultados de Security Hub, consulte Cómo dejar de recibir resultados.

  • Para evitar que OpsCenter cree nuevos hallazgos de OpsItems para Security Hub, consulte

Para eliminar manualmente el rol vinculado al servicio AWSServiceRoleForSystemsManagerOpsDataSync mediante IAM

Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de AWSServiceRoleForSystemsManagerOpsDataSync. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para el rol vinculado al servicio AWSServiceRoleForSystemsManagerOpsDataSync de Systems Manager

Systems Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte Puntos de conexión y cuotas de AWS Systems Manager.

Systems Manager no admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Puede usar el rol AWSServiceRoleForSystemsManagerOpsDataSync en las siguientes regiones.

Región de AWS name Identidad de la región Compatibilidad en Systems Manager
Este de EE. UU. (Norte de Virginia) us-east-1
Este de EE. UU. (Ohio) us-east-2
Oeste de EE. UU. (Norte de California) us-west-1
Oeste de EE. UU. (Oregón) us-west-2
Asia Pacífico (Bombay) ap-south-1
Asia Pacífico (Osaka) ap-northeast-3
Asia Pacífico (Seúl) ap-northeast-2
Asia-Pacífico (Singapur) ap-southeast-1
Asia Pacífico (Sídney) ap-southeast-2
Asia-Pacífico (Tokio) ap-northeast-1
Canadá (centro) ca-central-1
Europe (Fráncfort) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2
Europa (París) eu-west-3
Europa (Estocolmo) eu-north-1
América del Sur (São Paulo) sa-east-1
AWS GovCloud (US) us-gov-west-1 No