Uso de roles vinculados a servicios para CloudFront
Amazon CloudFront utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a CloudFront. Los roles vinculados a servicios están predefinidos por CloudFront e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a servicios simplifica la configuración de CloudFront porque ya no tendrá que agregar de forma manual los permisos necesarios. CloudFront define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo CloudFront puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de CloudFront, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Roles vinculados a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de rol vinculado al servicio para el registrador de Orígenes de la VPC de CloudFront
Orígenes de la VPC de CloudFront usa el rol vinculado a servicios denominado AWSServiceRoleForCloudFrontVPCOrigin: permite a CloudFront administrar los grupos de seguridad e interfaces de red elásticas de EC2 en su nombre.
El rol vinculado al servicio AWSServiceRoleForCloudFrontVPCOrigin depende de los siguientes servicios para asumir el rol:
-
vpcorigin.cloudfront.amazonaws.com
La política de permisos del rol denominada AWSCloudFrontVPCOriginServiceRolePolicy permite que Orígenes de la VPC de CloudFront pueda realizar las siguientes acciones en los recursos especificados:
-
Acción:
ec2:CreateNetworkInterfaceenarn:aws:ec2:*:*:network-interface/* -
Acción:
ec2:CreateNetworkInterfaceenarn:aws:ec2:*:*:subnet/*yarn:aws:ec2:*:*:security-group/* -
Acción:
ec2:CreateSecurityGroupenarn:aws:ec2:*:*:security-group/* -
Acción:
ec2:CreateSecurityGroupenarn:aws:ec2:*:*:vpc/* -
Acción:
ec2:ModifyNetworkInterfaceAttribute,ec2:DeleteNetworkInterface,ec2:DeleteSecurityGroup,ec2:AssignIpv6Addressesyec2:UnassignIpv6Addressesenall AWS resources that the actions support -
Action:
ec2:DescribeNetworkInterfaces,ec2:DescribeSecurityGroups,ec2:DescribeInstances,ec2:DescribeInternetGateways,ec2:DescribeSubnets,ec2:DescribeRegionsyec2:DescribeAddressesenall AWS resources that the actions support -
Acción:
ec2:CreateTagsenarn:aws:ec2:*:*:security-group/*yarn:aws:ec2:*:*:network-interface/* -
Acción:
elasticloadbalancing:DescribeLoadBalancers,elasticloadbalancing:DescribeListenersyelasticloadbalancing:DescribeTargetGroupsenall AWS resources that the actions support
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a servicios de Orígenes de la VPC de CloudFront
No necesita crear manualmente un rol vinculado a servicios. Al crear un origen de la VPC en la AWS Management Console, la AWS CLI o la API de AWS, Orígenes de la VPC de CloudFront crea el rol vinculado a servicios en su nombre.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un origen de la VPC, Orígenes de la VPC de CloudFront crea el rol vinculado a servicios en su nombre de nuevo.
Edición de un rol vinculado a servicios de Orígenes de la VPC de CloudFront
Orígenes de la VPC de CloudFront no le permite editar el rol vinculado a servicios AWSServiceRoleForCloudFrontVPCOrigin. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a servicios de Orígenes de la VPC de CloudFront
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio de CloudFront utiliza el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar los recursos de Orígenes de la VPC de CloudFront que utiliza AWSServiceRoleForCloudFrontVPCOrigin
-
Elimine los recursos de origen de la VPC de su cuenta.
CloudFront puede tardar un tiempo en terminar de eliminar los recursos de su cuenta. Si no puede eliminar el rol vinculado a servicios de inmediato, espere e inténtelo de nuevo.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de AWSServiceRoleForCloudFrontVPCOrigin. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Regiones admitidas para roles vinculados a servicios de Orígenes de la VPC de CloudFront
Orígenes de la VPC de CloudFront no permite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Puede usar el rol AWSServiceRoleForCloudFrontVPCOrigin en las siguientes regiones.
| Nombre de la región | Identidad de la región | Compatibilidad en CloudFront |
|---|---|---|
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| EE. UU Oeste (Norte de California) | us-west-1 (excepto AZ usw1-az2) | Sí |
| EE. UU. Oeste (Oregon) | us-west-2 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| Asia Pacífico (Hong Kong) | ap-east-1 | Sí |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | Sí |
| Asia-Pacífico (Melbourne) | ap-southeast-4 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Hyderabad) | ap-south-2 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 (excepto AZ apne1-az3) | Sí |
| Canadá (Centro) | ca-central-1 (excepto AZ cac1-az3) | Sí |
| Oeste de Canadá (Calgary) | ca-west-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (España) | eu-south-2 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Europa (Zúrich) | eu-central-2 | Sí |
| Israel (Tel Aviv) | il-central-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| Medio Oriente (EAU) | me-central-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
