Uso de roles vinculados a servicios de AWS Audit Manager - AWS Audit Manager
Permisos de roles vinculados a servicios de AWS Audit ManagerCreación del rol vinculado a servicio AWS Audit ManagerEdición del rol vinculado al servicio AWS Audit ManagerEliminación del rol vinculado a un servicio AWS Audit ManagerRegiones admitidas para los roles vinculados a un servicio de AWS Audit Manager

Uso de roles vinculados a servicios de AWS Audit Manager

AWS Audit Manager usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Audit Manager. Los roles vinculados a servicios los predefine Audit Manager e incluyen todos los permisos que el servicio necesita para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de AWS Audit Manager porque ya no tendrá que añadir manualmente los permisos necesarios. Audit Manager define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Audit Manager puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado al servicio. Seleccione una opción con un enlace para ver la documentación relativa al rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de AWS Audit Manager

Audit Manager utiliza el rol vinculado a servicios denominado AWSServiceRoleForAuditManager, que permite el acceso a los servicios y recursos de AWS utilizados o administrados por AWS Audit Manager.

El rol vinculado a servicios AWSServiceRoleForAuditManager confía en el servicio auditmanager.amazonaws.com para asumir el rol.

La política de permisos de funciones, AWSAuditManagerServiceRolePolicy, permite a Audit Manager recopilar evidencias automatizadas sobre su uso de AWS. Más específicamente, puede tomar las siguientes acciones en su nombre.

  • Audit Manager se puede utilizar AWS Security Hub para recopilar evidencias de verificación de conformidad. En este caso, Audit Manager utiliza el siguiente permiso para informar de los resultados de las comprobaciones de seguridad directamente desde AWS Security Hub. A continuación, adjunta los resultados a los controles de evaluación pertinentes como evidencia.

    • securityhub:DescribeStandards

    nota

    Para obtener más información sobre qué controles específicos de Security Hub puede describir Audit Manager, consulte los controles AWS Security Hub compatibles con AWS Audit Manager.

  • Audit Manager se puede utilizar AWS Config para recopilar evidencias de verificación de conformidad. En este caso, Audit Manager utiliza los siguientes permisos para informar de los resultados de la evaluación de los controles de AWS Config directamente desde AWS Config. A continuación, adjunta los resultados a los controles de evaluación pertinentes como evidencia.

    • config:DescribeConfigRules

    • config:DescribeDeliveryChannels

    • config:ListDiscoveredResources

    nota

    Para obtener más información sobre qué controles específicos de AWS Config puede describir Audit Manager, consulte Controles deAWS Config compatibles con AWS Audit Manager.

  • Audit Manager puede utilizar AWS CloudTrail para recopilar evidencias de la actividad del usuario. En este caso, Audit Manager utiliza los siguientes permisos para capturar la actividad de los usuarios de los registros de CloudTrail. A continuación, adjunta la actividad de los controles de evaluación pertinentes como evidencia.

    • cloudtrail:DescribeTrails

    • cloudtrail:LookupEvents

    nota

    Para obtener más información sobre los eventos específicos de CloudTrail que Audit Manager puede describir, consulte los nombres de eventos AWS CloudTrail compatibles con AWS Audit Manager.

  • Audit Manager puede utilizar las llamadas a la API AWS para recopilar evidencias de configuración de recursos. En este caso, Audit Manager utiliza los siguientes permisos para llamar a las API de solo lectura que describen las configuraciones de sus recursos para los siguientes Servicios de AWS. A continuación, adjunta las respuestas de la API a los controles de evaluación pertinentes como evidencia.

    • acm:GetAccountConfiguration

    • acm:ListCertificates

    • apigateway:GET

    • autoscaling:DescribeAutoScalingGroups

    • backup:ListBackupPlans

    • backup:ListRecoveryPointsByResource

    • bedrock:GetCustomModel

    • bedrock:GetFoundationModel

    • bedrock:GetModelCustomizationJob

    • bedrock:GetModelInvocationLoggingConfiguration

    • bedrock:ListCustomModels

    • bedrock:ListFoundationModels

    • bedrock:ListGuardrails

    • bedrock:ListModelCustomizationJobs

    • cloudfront:GetDistribution

    • cloudfront:GetDistributionConfig

    • cloudfront:ListDistributions

    • cloudtrail:DescribeTrails

    • cloudtrail:GetTrail

    • cloudtrail:ListTrails

    • cloudtrail:LookupEvents

    • cloudwatch:DescribeAlarms

    • cloudwatch:DescribeAlarmsForMetric

    • cloudwatch:GetMetricStatistics

    • cloudwatch:ListMetrics

    • cognito-idp:DescribeUserPool

    • config:DescribeConfigRules

    • config:DescribeDeliveryChannels

    • config:ListDiscoveredResources

    • directconnect:DescribeDirectConnectGateways

    • directconnect:DescribeVirtualGateways

    • dynamodb:DescribeBackup

    • dynamodb:DescribeContinuousBackups

    • dynamodb:DescribeTable

    • dynamodb:DescribeTableReplicaAutoScaling

    • dynamodb:ListBackups

    • dynamodb:ListGlobalTables

    • dynamodb:ListTables

    • ec2:DescribeAddresses

    • ec2:DescribeCustomerGateways

    • ec2:DescribeEgressOnlyInternetGateways

    • ec2:DescribeFlowLogs

    • ec2:DescribeInstanceCreditSpecifications

    • ec2:DescribeInstanceAttribute

    • ec2:DescribeInstances

    • ec2:DescribeInternetGateways

    • ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations

    • ec2:DescribeLocalGateways

    • ec2:DescribeLocalGatewayVirtualInterfaces

    • ec2:DescribeNatGateways

    • ec2:DescribeNetworkAcls

    • ec2:DescribeRouteTables

    • ec2:DescribeSecurityGroups

    • ec2:DescribeSecurityGroupRules

    • ec2:DescribeSnapshots

    • ec2:DescribeTransitGateways

    • ec2:DescribeVolumes

    • ec2:DescribeVpcEndpoints

    • ec2:DescribeVpcEndpointConnections

    • ec2:DescribeVpcEndpointServiceConfigurations

    • ec2:DescribeVpcPeeringConnections

    • ec2:DescribeVpcs

    • ec2:DescribeVpnConnections

    • ec2:DescribeVpnGateways

    • ec2:GetEbsDefaultKmsKeyId

    • ec2:GetEbsEncryptionByDefault

    • ec2:GetLaunchTemplateData

    • ecs:DescribeClusters

    • eks:DescribeAddonVersions

    • elasticache:DescribeCacheClusters

    • elasticache:DescribeServiceUpdates

    • elasticfilesystem:DescribeAccessPoints

    • elasticfilesystem:DescribeFileSystems

    • elasticloadbalancing:DescribeLoadBalancers

    • elasticloadbalancing:DescribeSslPolicies

    • elasticloadbalancing:DescribeTargetGroups

    • elasticmapreduce:ListClusters

    • elasticmapreduce:ListSecurityConfigurations

    • es:DescribeDomains

    • es:DescribeDomain

    • es:DescribeDomainConfig

    • es:ListDomainNames

    • events:DeleteRule

    • events:DescribeRule

    • events:DisableRule

    • events:EnableRule

    • events:ListConnections

    • events:ListEventBuses

    • events:ListEventSources

    • events:ListRules

    • events:ListTargetsByRule

    • events:PutRule

    • events:PutTargets

    • events:RemoveTargets

    • firehose:ListDeliveryStreams

    • fsx:DescribeFileSystems

    • guardduty:ListDetectors

    • iam:GenerateCredentialReport

    • iam:GetAccessKeyLastUsed

    • iam:GetAccountAuthorizationDetails

    • iam:GetAccountPasswordPolicy

    • iam:GetAccountSummary

    • iam:GetCredentialReport

    • iam:GetGroupPolicy

    • iam:GetPolicy

    • iam:GetPolicyVersion

    • iam:GetRolePolicy

    • iam:GetUser

    • iam:GetUserPolicy

    • iam:ListAccessKeys

    • iam:ListAttachedGroupPolicies

    • iam:ListAttachedRolePolicies

    • iam:ListAttachedUserPolicies

    • iam:ListEntitiesForPolicy

    • iam:ListGroupPolicies

    • iam:ListGroups

    • iam:ListGroupsForUser

    • iam:ListMfaDeviceTags

    • iam:ListMfaDevices

    • iam:ListOpenIdConnectProviders

    • iam:ListPolicies

    • iam:ListPolicyVersions

    • iam:ListRolePolicies

    • iam:ListRoles

    • iam:ListSamlProviders

    • iam:ListUserPolicies

    • iam:ListUsers

    • iam:ListVirtualMFADevices

    • kafka:ListClusters

    • kafka:ListKafkaVersions

    • kinesis:ListStreams

    • kms:DescribeKey

    • kms:GetKeyPolicy

    • kms:GetKeyRotationStatus

    • kms:ListGrants

    • kms:ListKeyPolicies

    • kms:ListKeys

    • lambda:ListFunctions

    • license-manager:ListAssociationsForLicenseConfiguration

    • license-manager:ListLicenseConfigurations

    • license-manager:ListUsageForLicenseConfiguration

    • logs:DescribeDestinations

    • logs:DescribeExportTasks

    • logs:DescribeLogGroups

    • logs:DescribeMetricFilters

    • logs:DescribeResourcePolicies

    • logs:FilterLogEvents

    • logs:GetDataProtectionPolicy

    • organizations:DescribeOrganization

    • organizations:DescribePolicy

    • rds:DescribeCertificates

    • rds:DescribeDBClusterEndpoints

    • rds:DescribeDBClusterParameterGroups

    • rds:DescribeDBClusters

    • rds:DescribeDBInstances

    • rds:DescribeDBInstanceAutomatedBackups

    • rds:DescribeDBSecurityGroups

    • redshift:DescribeClusters

    • redshift:DescribeClusterSnapshots

    • redshift:DescribeLoggingStatus

    • route53:GetQueryLoggingConfig

    • s3:GetBucketAcl

    • s3:GetBucketLogging

    • s3:GetBucketOwnershipControls

    • s3:GetBucketPolicy

      • Esta acción de la API funciona en el ámbito de la Cuenta de AWS en la que está disponible el rol vinculado al servicio. No puede acceder a las políticas de bucket entre cuentas.

    • s3:GetBucketPublicAccessBlock

    • s3:GetBucketTagging

    • s3:GetBucketVersioning

    • s3:GetEncryptionConfiguration

    • s3:GetLifecycleConfiguration

    • s3:ListAllMyBuckets

    • sagemaker:DescribeAlgorithm

    • sagemaker:DescribeDomain

    • sagemaker:DescribeEndpoint

    • sagemaker:DescribeEndpointConfig

    • sagemaker:DescribeFlowDefinition

    • sagemaker:DescribeHumanTaskUi

    • sagemaker:DescribeLabelingJob

    • sagemaker:DescribeModel

    • sagemaker:DescribeModelBiasJobDefinition

    • sagemaker:DescribeModelCard

    • sagemaker:DescribeModelQualityJobDefinition

    • sagemaker:DescribeTrainingJob

    • sagemaker:DescribeUserProfile

    • sagemaker:ListAlgorithms

    • sagemaker:ListDomains

    • sagemaker:ListEndpointConfigs

    • sagemaker:ListEndpoints

    • sagemaker:ListFlowDefinitions

    • sagemaker:ListHumanTaskUis

    • sagemaker:ListLabelingJobs

    • sagemaker:ListModels

    • sagemaker:ListModelBiasJobDefinitions

    • sagemaker:ListModelCards

    • sagemaker:ListModelQualityJobDefinitions

    • sagemaker:ListMonitoringAlerts

    • sagemaker:ListMonitoringSchedules

    • sagemaker:ListTrainingJobs

    • sagemaker:ListUserProfiles

    • securityhub:DescribeStandards

    • secretsmanager:DescribeSecret

    • secretsmanager:ListSecrets

    • sns:ListTagsForResource

    • sns:ListTopics

    • sqs:ListQueues

    • waf-regional:GetLoggingConfiguration

    • waf-regional:GetRule

    • waf-regional:GetWebAcl

    • waf-regional:ListRuleGroups

    • waf-regional:ListRules

    • waf-regional:ListSubscribedRuleGroups

    • waf-regional:ListWebACLs

    • waf:GetRule

    • waf:GetRuleGroup

    • waf:ListActivatedRulesInRuleGroup

    • waf:ListRuleGroups

    • waf:ListRules

    • waf:ListWebAcls

    • wafv2:ListWebAcls

    nota

    Para obtener más información sobre las llamadas a la API específicas que Audit Manager puede describir, consulte Se admiten llamadas a la API para orígenes de datos de control personalizadas.

Para ver todos los detalles de los permisos del rol vinculado al servicio AWSServiceRoleForAuditManager, consulte AWSAuditManagerServiceRolePolicy en la Guía de referencia de políticas gestionadas por AWS.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación del rol vinculado a servicio AWS Audit Manager

No necesita crear manualmente un rol vinculado a servicios. Al habilitar AWS Audit Manager, el servicio crea automáticamente el rol vinculado a un servicio para usted. Puede activar Audit Manager desde la página de incorporación de AWS Management Console, o mediante la API o AWS CLI. Para obtener más información, consulte Habilitación de AWS Audit Manager en este guía del usuario.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.

Edición del rol vinculado al servicio AWS Audit Manager

AWS Audit Manager no le permite modificar el rol vinculado al servicio AWSServiceRoleForAuditManager. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Permitir a una entidad de IAM editar la descripción del rol vinculado a servicio AWSServiceRoleForAuditManager

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que tiene que editar la descripción del rol vinculado al servicio.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "auditmanager.amazonaws.com"}}
}

Eliminación del rol vinculado a un servicio AWS Audit Manager

Si ya no utiliza Audit Manager, le recomendamos que elimine el rol vinculado a servicios AWSServiceRoleForAuditManager. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa. Sin embargo, debe limpiar el rol vinculado al servicio antes de eliminarlo.

Limpieza del rol vinculado al servicio de

Antes de poder utilizar IAM para eliminar el rol vinculado a un servicio de Audit Manager, primero debe confirmar que dicho rol no tiene sesiones activas y eliminar los recursos que utiliza. Para ello, asegúrese de que Audit Manager esté dado de baja en todos los registros de Regiones de AWS. Tras anular el registro, Audit Manager ya no utiliza el rol vinculado al servicio.

Para obtener instrucciones sobre cómo anular el registro de Audit Manager, consulte los siguientes recursos:

Para obtener instrucciones sobre cómo eliminar los recursos de Audit Manager manualmente, consulte Eliminación de datos de Audit Manager en esta guía.

Eliminación del rol vinculado a un servicio

Puede eliminar el rol vinculado al servicio utilizando la consola de IAM, la AWS Command Line Interface (AWS CLI) o la API de IAM.

IAM console

Siga estos pasos para eliminar un rol vinculado en la consola de IAM.

Para eliminar un rol vinculado a un servicio (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles. A continuación, maqrue la casilla de verificación situada junto a AWSServiceRoleForAuditManager, no el nombre o la propia fila.

  3. En Acciones de rol en la parte superior de la página, elija Eliminar.

  4. En el cuadro de diálogo de confirmación, revise la información de acceso reciente, donde se indica cuándo accedió cada uno de los roles seleccionados a un servicio de Servicio de AWS por última vez. Esto lo ayuda a confirmar si el rol está actualmente activo. Si desea continuar, introduzca AWSServiceRoleForAuditManager en el campo de entrada de texto y seleccione Eliminar para enviar la solicitud de eliminación del rol vinculado al servicio.

  5. Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Como el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, dicha tarea puede realizarse correctamente o fallar después de que envía la solicitud de eliminación. Si el proceso se realiza correctamente, el rol se elimina de la lista y aparece un mensaje de confirmación en la parte superior de la página.

AWS CLI

Puede utilizar los comandos de IAM desde la AWS CLI para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (AWS CLI)

  1. Introduzca el siguiente comando para enumerar el rol de su cuenta: 

    aws iam get-role --role-name AWSServiceRoleForAuditManager

  2. Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor deletion-task-id de la respuesta para comprobar el estado de la tarea de eliminación.

    Ingrese el siguiente comando para enviar una solicitud de eliminación de un rol vinculado a un servicio:

    aws iam delete-service-linked-role --role-name AWSServiceRoleForAuditManager

  3. Utilice el siguiente comando para comprobar el estado de la tarea de eliminación:

    aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.

IAM API

Puede utilizar la API de IAM para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (API)

  1. Llame a GetRole para incluir el rol en su cuenta. En la solicitud, especifique que AWSServiceRoleForAuditManager es el RoleName.

  2. Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor DeletionTaskId de la respuesta para comprobar el estado de la tarea de eliminación.

    Para enviar una solicitud de eliminación de un rol vinculado a un servicio, realice una llamada a DeleteServiceLinkedRole. En la solicitud, especifique que AWSServiceRoleForAuditManager es el RoleName.

  3. Para comprobar el estado de la tarea de eliminación, realice una llamada a GetServiceLinkedRoleDeletionStatus. En la solicitud, especifique el valor de DeletionTaskId.

    El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.

Consejos para eliminar el rol vinculado a servicios en Audit Manager

Es posible que el proceso de eliminación del rol vinculado a servicios en Audit Manager no se realice correctamente si Audit Manager utiliza el rol o tiene recursos asociados. Esto puede ocurrir en las siguientes situaciones:

  1. Su cuenta sigue registrada en Audit Manager en una o varias Regiones de AWS.

  2. Su cuenta forma parte de una organización de AWS y la cuenta de administración o la cuenta de administrador delegado siguen integradas en Audit Manager.

Para resolver un problema de error en la eliminación, comience por comprobar si su Cuenta de AWS forma parte de una organización. Para ello, llame a la operación de la API DescribeOrganization o diríjase a la consola de AWS Organizations.

Si su Cuenta de AWS forma parte de una organización

  1. Utilice la cuenta de administración para eliminar el administrador delegado en Audit Manager en todas las Regiones de AWS en las que haya añadido uno.

  2. Utilice la cuenta de administración para anular el registro de Audit Manager en todas las Regiones de AWS en las que ha utilizado el servicio.

  3. Intente de nuevo eliminar el rol vinculado a servicios mediante los pasos indicados en el procedimiento anterior.

Si su Cuenta de AWS no forma parte de una organización

  1. Asegúrese de que ha anulado el registro de Audit Manager en todas las Regiones de AWS en las que ha utilizado el servicio.

  2. Intente de nuevo eliminar el rol vinculado a servicios mediante los pasos indicados en el procedimiento anterior.

Tras anular el registro de Audit Manager, el servicio dejará de utilizar el rol vinculado a servicios. A continuación, podrá eliminar el rol correctamente.

Regiones admitidas para los roles vinculados a un servicio de AWS Audit Manager

AWS Audit Manager admite el uso de roles vinculados a servicios en todas las Regiones de AWS en las que el servicio está disponible. Para obtener más información, consulte puntos de conexión de servicio de AWS.