Roles vinculados a servicios para Network Flow Monitor - Amazon CloudWatch
Permisos para roles vinculados a servicios de Network Flow MonitorCreación de un rol vinculado a servicios de Network Flow MonitorEdición de un rol vinculado a servicios de Network Flow MonitorEliminación de un rol vinculado a servicios de Network Flow MonitorActualizaciones de roles vinculados a servicios de Network Flow Monitor

Roles vinculados a servicios para Network Flow Monitor

Network Flow Monitor usa AWS Identity and Access Management (IAM) y sus roles vinculados a servicios. Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Network Flow Monitor. Network Flow Monitor predefine el rol vinculado a servicios e incluye todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Network Flow Monitor define los permisos de los roles vinculados a servicios y, a menos que esté definido de otra manera, solo Network Flow Monitor puede asumir estos roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que las políticas de permisos no se puedan asociar a ninguna otra entidad de IAM.

Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. Esta restricción protege los recursos de Network Flow Monitor, ya que evita que se les puedan quitar accidentalmente permisos de acceso.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos para roles vinculados a servicios de Network Flow Monitor

Network Flow Monitor usa los siguientes roles vinculados a servicios:

  • AWSServiceRoleForNetworkFlowMonitor

  • AWSServiceRoleForNetworkFlowMonitor_Topology

Permisos para roles vinculados a servicios de AWSServiceRoleForNetworkFlowMonitor

Network Flow Monitor usa el rol vinculado a servicios denominado AWSServiceRoleForNetworkFlowMonitor. Este rol permite a Network Flow Monitor publicar métricas de telemetría agregadas de CloudWatch recopiladas para el tráfico de red entre instancias y entre instancias y ubicaciones de AWS. También permite que el servicio use AWS Organizations para obtener información para escenarios de varias cuentas.

Este rol vinculado al servicio utiliza la política administrada CloudWatchNetworkFlowMonitorServiceRolePolicy.

Para ver los permisos de esta política, consulte CloudWatchNetworkFlowMonitorServiceRolePolicy en la Referencia de políticas administradas de AWS.

El rol vinculado a servicios AWSServiceRoleForNetworkFlowMonitor confía en el siguiente servicio para que asuma el rol:

  • networkflowmonitor.amazonaws.com

Permisos para roles vinculados a servicios de AWSServiceRoleForNetworkFlowMonitor_Topology

Network Flow Monitor usa el rol vinculado a servicios denominado AWSServiceRoleForNetworkFlowMonitor_Topology. Este rol permite que Network Flow Monitor genere una instantánea de la topología de los recursos que se usan con Network Flow Monitor.

Este rol vinculado al servicio utiliza la política administrada CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.

Para ver los permisos de esta política, consulte CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy en la Referencia de políticas administradas de AWS.

El rol vinculado a servicios AWSServiceRoleForNetworkFlowMonitor_Topology confía en el siguiente servicio para que asuma el rol:

  • topology.networkflowmonitor.amazonaws.com

Creación de un rol vinculado a servicios de Network Flow Monitor

No es necesario crear un rol vinculado a servicios de forma manual para Network Flow Monitor. La primera vez que inicializa Network Flow Monitor, este crea AWSServiceRoleForNetworkFlowMonitor y AWSServiceRoleForNetworkFlowMonitor_Topology para usted.

Para obtener más información, consulte Creating a service-linked role en la Guía del usuario de IAM.

Edición de un rol vinculado a servicios de Network Flow Monitor

Después de que Network Flow Monitor cree un rol vinculado a servicios en su cuenta, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a este. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicios de Network Flow Monitor

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma no tiene una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio Network Flow Monitor está usando el rol cuando intenta eliminarlo, la eliminación podría producir un error. Si eso sucede, espere unos minutos e inténtelo de nuevo.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Use la consola de IAM, la AWS CLI o la API de AWS para eliminar los roles vinculados a servicios AWSServiceRoleForNetworkFlowMonitor o AWSServiceRoleForNetworkFlowMonitor_Topology. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Actualizaciones de roles vinculados a servicios de Network Flow Monitor

Para ver las actualizaciones a CloudWatchNetworkFlowMonitorServiceRolePolicy o CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy, que son políticas administradas de AWS para los roles vinculados a servicios de Network Flow Monitor, consulte Actualizaciones de CloudWatch a las políticas administradas de AWS. Para recibir alertas automáticas sobre cambios en las políticas gestionadas en CloudWatch, suscríbase a la fuente RSS en la página de Historial de documentos de CloudWatch.