Uso de roles vinculados a servicios de Amazon RDS
Amazon RDS utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon RDS. Los roles vinculados a servicios están predefinidos por Amazon RDS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica el uso de Amazon RDS porque ya no tendrá que agregar manualmente los permisos necesarios. Amazon RDS define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon RDS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma, se protegen los recursos de Amazon RDS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado al servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
Permisos de roles vinculados a servicios de Amazon RDS
Amazon RDS utiliza el rol vinculado al servicio denominado AWSServiceRoleForRDS para permitir que Amazon RDS llame a servicios de AWS en nombre de sus instancias de base de datos.
El rol vinculado al servicio AWSServiceRoleForRDS confía en que los siguientes servicios asuman el rol:
-
rds.amazonaws.com
Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonRDSServiceRolePolicy
, que le otorga permisos para operar en su cuenta.
Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSServiceRolePolicy en la Guía de referencia de políticas administradas de AWS.
nota
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:
Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.
Asegúrese de que tiene habilitados los permisos siguientes:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName":"rds.amazonaws.com" } } }
Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a un servicio de Amazon RDS
No necesita crear manualmente un rol vinculado a un servicio. Cuando crea una instancia de base de datos, Amazon RDS vuelve a crear por usted el rol vinculado al servicio.
importante
Si utilizaba el servicio Amazon RDS antes del 1 de diciembre de 2017, cuando comenzó a admitir roles vinculados a servicios, entonces Amazon RDS creó el rol AWSServiceRoleForRDS en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de AWS.
Si elimina este rol vinculado a servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una instancia de base de datos, Amazon RDS vuelve a crear por usted el rol vinculado al servicio.
Modificación de un rol vinculado a un servicio de Amazon RDS
Amazon RDS no permite editar el rol vinculado al servicio AWSServiceRoleForRDS. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado al servicio en la Guía del usuario de IAM.
Eliminación de un rol vinculado a un servicio de Amazon RDS
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todas las instancias para poder eliminar el rol vinculado al servicio.
Limpiar un rol vinculado a un servicio
Antes de poder utilizar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza.
Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM
Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación de la consola de IAM, elija Roles. Luego, elija el nombre (no la casilla de verificación) del rol AWSServiceRoleForRDS.
-
En la página Summary (Resumen) del rol seleccionado, elija la pestaña Access Advisor (Acceso a Advisor).
-
En la pestaña Access Advisor, revise la actividad reciente del rol vinculado al servicio.
nota
Si no está seguro de si Amazon RDS utiliza el rol AWSServiceRoleForRDS, puede intentar eliminar el rol para comprobarlo. Si el servicio está utilizando el rol, este no podrá eliminarse y podrá ver las regiones de AWS en las que se está utilizando. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a un servicio.
Si desea eliminar el rol AWSServiceRoleForRDS, primero debe eliminar sus instancias de base de datos totales.
Eliminación de todas las instancias
Use alguno de estos procedimientos para eliminar cada una de sus instancias.
Para eliminar una instancia (consola)
Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/
. -
En el panel de navegación, seleccione Databases (Bases de datos).
-
Elija la instancia que desea eliminar.
-
En Actions (Acciones), elija Delete (Eliminar).
-
Si aparece el mensaje Create final Snapshot? (¿Crear instantánea final?), elija Yes (Sí) o No.
-
Si eligió Yes (Sí) en el paso anterior, en Final snapshot name (Nombre de instantánea final) escriba el nombre de la instantánea final.
-
Elija Eliminar.
Para eliminar una instancia (CLI)
Consulte delete-db-instance
en la referencia de comandos de AWS CLI.
Para eliminar una instancia (API)
Consulte DeleteDBInstance
en la Amazon RDS API Reference.
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado al servicio AWSServiceRoleForRDS. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Permisos de roles vinculados a servicios para Amazon RDS Custom
Amazon RDS Custom utiliza el rol vinculado al servicio llamado AWSServiceRoleForRDSCustom
para permitir que RDS Custom llame a los servicios de AWS en nombre de sus recursos de base de datos de RDS.
El rol vinculado al servicio AWSServiceRoleForRDSCustom confía en los siguientes servicios para asumir el rol:
-
custom.rds.amazonaws.com
Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonRDSCustomServiceRolePolicy
que le otorga permisos para operar en su cuenta.
Crear, editar o eliminar el rol vinculado a servicios para RDS Custom funciona igual que para Amazon RDS. Para obtener más información, consulte Política administrada por:AWS AmazonRDSCustomServiceRolePolicy.
nota
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:
Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.
Asegúrese de que tiene habilitados los permisos siguientes:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSCustomServiceRolePolicy", "Condition": { "StringLike": { "iam:AWSServiceName":"custom.rds.amazonaws.com" } } }
Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Permisos de roles vinculados a servicios para Amazon RDS Beta
Amazon RDS utiliza el rol vinculado al servicio llamado AWSServiceRoleForRDSBeta
para que Amazon RDS pueda llamar a los servicios AWS en nombre de sus recursos de base de datos de RDS.
El rol vinculado al servicio AWSServiceRoleForRDSBeta depende de los siguientes servicios para asumir el rol:
-
rds.amazonaws.com
Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonRDSBetaServiceRolePolicy
que le otorga permisos para operar en su cuenta. Para obtener más información, consulte Política administrada de:AWS AmazonRDSBetaServiceRolePolicy.
nota
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:
Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.
Asegúrese de que tiene habilitados los permisos siguientes:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSBetaServiceRolePolicy", "Condition": { "StringLike": { "iam:AWSServiceName":"custom.rds.amazonaws.com" } } }
Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Rol vinculado a servicios para Amazon RDS Preview
Amazon RDS utiliza el rol vinculado al servicio llamado AWSServiceRoleForRDSPreview
para que Amazon RDS pueda llamar a los servicios AWS en nombre de sus recursos de base de datos de RDS.
El rol vinculado al servicio AWSServiceRoleForRDSPreview depende de los siguientes servicios para asumir el rol:
-
rds.amazonaws.com
Este rol vinculado al servicio tiene una política de permisos adjunta llamada AmazonRDSPreviewServiceRolePolicy
que le otorga permisos para operar en su cuenta. Para obtener más información, consulte Política administrada de:AWS AmazonRDSPreviewServiceRolePolicy.
nota
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o función) crear, editar o eliminar la descripción de una función vinculada a un servicio. Si aparece el siguiente mensaje de error:
Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.
Asegúrese de que tiene habilitados los permisos siguientes:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSPreviewServiceRolePolicy", "Condition": { "StringLike": { "iam:AWSServiceName":"custom.rds.amazonaws.com" } } }
Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.