Uso de roles vinculados a servicios para CodeCatalyst
Amazon CodeCatalyst utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a CodeCatalyst. Los roles vinculados a servicios los predefine CodeCatalyst e incluyen todos los permisos que el servicio necesita para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica la configuración de CodeCatalyst porque ya no tendrá que agregar manualmente los permisos necesarios. CodeCatalyst define los permisos de los roles vinculados a servicios y, a menos que esté definido de otra manera, solo CodeCatalyst puede asumir los roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de CodeCatalyst, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Roles vinculados a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de roles vinculados a servicios para CodeCatalyst
CodeCatalyst utiliza el rol vinculado al servicio denominado AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization: concede a Amazon CodeCatalyst acceso de solo lectura a los perfiles de instancias de la aplicación y a los usuarios y grupos del directorio asociado en su nombre.
El rol vinculado al servicio AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization depende de los siguientes servicios para asumir el rol:
-
codecatalyst.amazonaws.com
La política de permisos llamada AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy permite que CodeCatalyst realice las siguientes acciones en los recursos especificados:
-
Acción:
View application instance profiles and associated directory users and groupsparaCodeCatalyst spaces that support identity federation and SSO users and groups
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a servicios para CodeCatalyst
No necesita crear manualmente un rol vinculado a servicios. Cuando crea un espacio en la AWS Management Console, la AWS CLI, o la API de AWS, CodeCatalyst crea el rol vinculado al servicio en su nombre.
importante
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio de CodeCatalyst antes del 17 de noviembre de 2023, cuando comenzó a admitir los roles vinculados a servicios, CodeCatalyst creó el rol AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi Cuenta de AWS.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un espacio, CodeCatalyst se encarga nuevamente de crear el rol vinculado a servicios por usted.
También puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de uso Ver perfiles de instancias de aplicación y usuarios y grupos de directorios asociados. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio codecatalyst.amazonaws.com. Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
Edición de un rol vinculado a servicios para CodeCatalyst
CodeCatalyst no le permite editar el rol vinculado a servicios AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a servicios para CodeCatalyst
No es necesario eliminar manualmente el rol de AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization. Si elimina un espacio en la AWS Management Console, la AWS CLI o la API de AWS, CodeCatalyst elimina los recursos y borra el rol vinculado al servicio automáticamente.
También puede utilizar la consola de IAM, la AWS CLI o la API de AWS para eliminar manualmente el rol vinculado al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
nota
Si el servicio de CodeCatalyst está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
Eliminación de los recursos de CodeCatalyst que utiliza AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization
Eliminación manual del rol vinculado a servicios mediante IAM
Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Regiones compatibles con los roles vinculados a servicios de CodeCatalyst
CodeCatalyst admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de conexión y Regiones de AWS.
CodeCatalyst no permite el uso de los roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Puede usar el rol AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization en las siguientes regiones.
| Nombre de la región | Identidad de la región | Soporte en CodeCatalyst |
|---|---|---|
| Este de EE. UU. (Norte de Virginia) | us-east-1 | No |
| Este de EE. UU. (Ohio) | us-east-2 | No |
| Oeste de EE. UU. (Norte de California) | us-west-1 | No |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| África (Ciudad del Cabo) | af-south-1 | No |
| Asia-Pacífico (Hong Kong) | ap-east-1 | No |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | No |
| Asia-Pacífico (Bombay) | ap-south-1 | No |
| Asia Pacífico (Osaka) | ap-northeast-3 | No |
| Asia Pacífico (Seúl) | ap-northeast-2 | No |
| Asia-Pacífico (Singapur) | ap-southeast-1 | No |
| Asia Pacífico (Sídney) | ap-southeast-2 | No |
| Asia-Pacífico (Tokio) | ap-northeast-1 | No |
| Canadá (centro) | ca-central-1 | No |
| Europa (Fráncfort) | eu-central-1 | No |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | No |
| Europa (Milán) | eu-south-1 | No |
| Europa (París) | eu-west-3 | No |
| Europa (Estocolmo) | eu-north-1 | No |
| Medio Oriente (Baréin) | me-south-1 | No |
| Medio Oriente (EAU) | me-central-1 | No |
| América del Sur (São Paulo) | sa-east-1 | No |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | No |
| AWS GovCloud (Oeste de EE.UU.) | us-gov-west-1 | No |
