Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Usar roles vinculados a servicios en AWS RAM
AWS Resource Access Manager usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente al servicio de AWS RAM. Los roles vinculados a servicios están predefinidos por AWS e incluyen todos los permisos que AWS RAM necesita para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio facilita la configuración de AWS RAM, ya que no requiere añadir los permisos necesarios manualmente. AWS RAM define los permisos de los roles vinculados a su propio servicio y, salvo que se defina lo contrario, solo AWS RAM puede asumir los roles vinculados a su servicio. Los permisos definidos incluyen tanto una política de confianza como una política de permisos, y esta última no se puede vincular a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado a servicios. Seleccione una opción Sí con un enlace para ver la documentación relativa al rol vinculado al servicio en cuestión.
Permisos de roles vinculados a servicios para AWS RAM
AWS RAM usa el rol vinculado a servicio denominado AWSServiceRoleForResourceAccessManager cuando se habilita el uso compartido con AWS Organizations. Este rol concede permisos al servicio de AWS RAM para ver los detalles de la organización, como la lista de cuentas de miembros y las unidades organizativas en las que figura cada cuenta.
Este rol vinculado a servicio confía en el siguiente servicio para asumir el rol:
-
ram.amazonaws.com
La política de permisos de rol denominada AWSResourceAccessManagerServiceRolePolicy está asociada a este rol vinculado a permisos, y permite a AWS RAM llevar a cabo las siguientes acciones en los recursos especificados:
-
Acciones: acciones de solo lectura que permiten recuperar detalles sobre la estructura de la organización. Para obtener la lista completa de acciones, puede ver la política en la consola de IAM: AWSResourceAccessManagerServiceRolePolicy
.
Para que una entidad principal active el uso compartido de AWS RAM en su organización, dicha entidad principal (una entidad de IAM, como un usuario, grupo o rol) debe tener permiso para crear un rol vinculada a un servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Crear un rol vinculado a servicios para AWS RAM
No necesita crear manualmente un rol vinculado a servicios. Cuando activa el uso compartido de AWS RAM dentro de su organización en la AWS Management Console o ejecuta EnableSharingWithAWSOrganization en su cuenta mediante la AWS CLI o una API de AWS, AWS RAM crea automáticamente para usted el rol vinculado al servicio.
Si elimina este rol vinculado al servicio, AWS RAM dejará de tener permisos para ver los detalles de la estructura de su organización.
Editar un rol vinculado a un servicio para AWS RAM
AWS RAM no le permite editar el rol vinculado al servicio AWSResourceAccessManagerServiceRolePolicy. Una vez que crea un rol vinculado a un servicio, no puede cambiar el nombre del rol, ya que varias entidades podrían hacer referencia a dicho rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM..
Eliminar un rol vinculado a un servicio para AWS RAM
También puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar manualmente el rol vinculado al servicio.
Para eliminar manualmente el rol vinculado al servicio con IAM
Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSResourceAccessManagerServiceRolePolicy. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados a servicios de AWS RAM
AWS RAM admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte Regiones y puntos de conexión de AWS en la Referencia general de Amazon Web Services.
