Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Funciones vinculadas al servicio para AWS Outposts
AWS Outposts usa roles vinculados al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo de rol de servicio al que se vincula directamente. AWS Outposts AWS Outposts define los roles vinculados al servicio e incluye todos los permisos necesarios para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio hace que la configuración sea AWS Outposts más eficiente, ya que no es necesario añadir manualmente los permisos necesarios. AWS Outposts define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Outposts puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos relacionados. Esto protege sus AWS Outposts recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
Permisos de rol vinculados al servicio para AWS Outposts
AWS Outposts usa el rol vinculado al servicio denominado AWSService RoleForOutposts _. OutpostID Esta función otorga a Outposts permisos para gestionar los recursos de red a fin de habilitar la conectividad privada en tu nombre. Esta función también permite a Outposts crear y configurar interfaces de red, gestionar grupos de seguridad y adjuntar interfaces a instancias de punto final de enlace de servicio. Estos permisos son necesarios para establecer y mantener una conexión privada y segura entre tu Outpost local y los AWS servicios, lo que garantiza un funcionamiento fiable de tu implementación de Outpost.
El rol AWSService RoleForOutposts _ OutpostID vinculado al servicio confía en los siguientes servicios para asumir el rol:
-
outposts.amazonaws.com
Políticas de funciones vinculadas al servicio
El rol AWSService RoleForOutposts _ OutpostID vinculado al servicio incluye las siguientes políticas:
-
AWSOutpostsPrivateConnectivityPolicy_
OutpostID
AWSOutpostsServiceRolePolicy
La AWSOutpostsServiceRolePolicy política permite el acceso a AWS los recursos gestionados por. AWS Outposts
Esta política permite AWS Outposts realizar las siguientes acciones en los recursos especificados:
-
Acción:
ec2:DescribeNetworkInterfacesen todos los AWS recursos -
Acción:
ec2:DescribeSecurityGroupssobre todos los AWS recursos -
Acción:
ec2:DescribeSubnetssobre todos los AWS recursos -
Acción:
ec2:DescribeVpcEndpointssobre todos los AWS recursos -
Acción:
ec2:CreateNetworkInterfacesobre los siguientes AWS recursos:"arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" -
Acción:
ec2:CreateNetworkInterfaceen el AWS recurso"arn:*:ec2:*:*:network-interface/*"que cumpla la siguiente condición:"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] } -
Acción:
ec2:CreateSecurityGroupen los siguientes AWS recursos:"arn:*:ec2:*:*:vpc/*" -
Acción:
ec2:CreateSecurityGroupen el AWS recurso"arn:*:ec2:*:*:security-group/*"que cumpla la siguiente condición:"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
AWSOutpostsPrivateConnectivityPolicy_OutpostID
La AWSOutpostsPrivateConnectivityPolicy_ política permite AWS Outposts realizar las siguientes acciones en los recursos especificados:OutpostID
-
Acción:
ec2:AuthorizeSecurityGroupIngressen todos los AWS recursos que cumplan la siguiente condición:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Acción:
ec2:AuthorizeSecurityGroupEgressen todos los AWS recursos que cumplan la siguiente condición:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Acción:
ec2:CreateNetworkInterfacePermissionen todos los AWS recursos que cumplan la siguiente condición:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Acción:
ec2:CreateTagsen todos los AWS recursos que cumplan la siguiente condición:{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}}, "StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]} -
Acción:
ec2:RevokeSecurityGroupIngressen todos los AWS recursos que cumplan la siguiente condición:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Acción:
ec2:RevokeSecurityGroupEgressen todos los AWS recursos que cumplan la siguiente condición:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Acción:
ec2:DeleteNetworkInterfaceen todos los AWS recursos que cumplan la siguiente condición:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Acción:
ec2:DeleteSecurityGroupen todos los AWS recursos que cumplan la siguiente condición:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Cree un rol vinculado a un servicio para AWS Outposts
No necesita crear manualmente un rol vinculado a servicios. Cuando configuras la conectividad privada para tu Outpost en AWS Management Console, AWS Outposts crea automáticamente el rol vinculado al servicio.
Para obtener más información, consulte Opciones de conectividad privada de Service Link.
Edita un rol vinculado a un servicio para AWS Outposts
AWS Outposts no permite editar el rol AWSService RoleForOutposts _ vinculado al OutpostID servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Actualizar un rol vinculado a servicios en la Guía del usuario de IAM.
Elimine un rol vinculado a un servicio para AWS Outposts
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, evitará tener una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
Si el AWS Outposts servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Debes eliminar tu Outpost antes de poder eliminar el rol AWSService RoleForOutposts _ vinculado al OutpostID servicio.
Antes de empezar, asegúrate de que tu Outpost no se comparta mediante (). AWS Resource Access Manager AWS RAM Para obtener más información, consulta Dejar de compartir un recurso de Outpost compartido.
Para eliminar AWS Outposts los recursos utilizados por _ AWSService RoleForOutposts OutpostID
Ponte en contacto con AWS Enterprise Support para eliminar tu Outpost.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones compatibles para los roles vinculados AWS Outposts al servicio
AWS Outposts admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulta los FAQs racks de Outposts
