Uso de roles vinculados a servicios de Systems Manager
AWS Systems Manager utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Systems Manager. Los roles vinculados a servicios están predefinidos por Systems Manager e incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre.
nota
Un rol de servicio es diferente de un rol vinculado a servicio. Un rol de servicio es un tipo de rol de AWS Identity and Access Management (IAM) que concede permisos a un Servicio de AWS para que pueda acceder a recursos de AWS. Solo unos pocos casos de Systems Manager requieren un rol de servicio. Cuando cree un rol de servicio para Systems Manager, puede elegir los permisos que va a conceder para que pueda acceder a otros recursos de AWS o pueda interactuar con ellos.
Con un rol vinculado a servicios, resulta más sencillo configurar Systems Manager, porque no es preciso agregar los permisos necesarios manualmente. Systems Manager define los permisos de los roles vinculados con su propio servicio y, a menos que esté definido de otra manera, solo Systems Manager puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede adjuntar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Systems Manager, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
nota
Para los nodos que no son de EC2 en un entorno híbrido y multinube, necesita disponer un rol de IAM adicional que permita a las máquinas comunicarse con el servicio de Systems Manager. Esta es la rol de servicio de IAM para Systems Manager. Este rol concede a AWS Security Token Service (AWS STS) la confianza AssumeRole para el servicio Systems Manager. La acción AssumeRole
devuelve un conjunto de credenciales de seguridad temporales (consistente en un ID de clave de acceso, una clave de acceso secreta y un token de seguridad). Estas credenciales temporales se usan para obtener acceso a recursos de AWS a los que normalmente no tendría acceso. Para obtener más información, consulte Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube y AssumeRole en la Referencia de la API de AWS Security Token Service.
Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Roles vinculados a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
Temas
- Uso de roles para recopilar datos de inventario y ver OpsData
- Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer
- Uso de roles para crear OpsData y OpsItems para Explorer
- Uso de roles para crear OpsItems con información operativa en Systems Manager OpsCenter
- Uso de roles para mantener el estado y la consistencia de los recursos aprovisionados de Quick Setup
- Uso de roles para exportar OpsData de Explorer