# Uso de roles vinculados al servicio para Amazon ECS
<a name="using-service-linked-roles"></a>

Amazon Elastic Container Service utiliza [roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon ECS. Los roles vinculados a servicios se encuentran predefinidos por Amazon ECS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

**Topics**
+ [Uso de roles para permitir que Amazon ECS administre los clústeres](using-service-linked-roles-for-clusters.md)
+ [Uso de roles para administrar instancias administradas de Amazon ECS](using-service-linked-roles-instances.md)

# Uso de roles para permitir que Amazon ECS administre los clústeres
<a name="using-service-linked-roles-for-clusters"></a>

Amazon Elastic Container Service utiliza [roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon ECS. Los roles vinculados a servicios se encuentran predefinidos por Amazon ECS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado al servicio simplifica la configuración de Amazon ECS porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon ECS define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon ECS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon ECS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque aquellos servicios que tengan **Sí** en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de roles vinculados al servicio para Amazon ECS
<a name="service-linked-role-permissions-clusters"></a>

Amazon ECS utiliza el rol vinculado al servicio con el nombre **AWSServiceRoleForECS**: rol para permitir que Amazon ECS administre el clúster.

El rol vinculado al servicio AWSServiceRoleForECS depende de los siguientes servicios para asumir el rol:
+ `ecs.amazonaws.com`

La política de permisos de rol denominada AmazonECSServiceRolePolicy permite a Amazon ECS llevar a cabo las siguientes acciones en los recursos especificados:
+ Acción: al utilizar el modo de red `awsvpc` para las tareas de Amazon ECS, este administra el ciclo de vida de las interfaces de red elásticas asociadas a la tarea. Esto también incluye las etiquetas que Amazon ECS agrega a sus interfaces de red elástica.
+ Acción: al utilizar un equilibrador de carga con su servicio de Amazon ECS, este administra el registro y la anulación del registro de los recursos con el equilibrador de carga.
+ Acción: al utilizar la detección de servicios de Amazon ECS, este administra los recursos de AWS Cloud Map y Route 53 necesarios para que la detección de servicios funcione.
+ Acción: al utilizar el escalado automático de servicios de Amazon ECS, este administra los recursos de escalado automático necesarios.
+ Acción: Amazon ECS crea y administra alarmas y flujos de registro de CloudWatch que ayudan a la supervisión de sus recursos de Amazon ECS.
+ Acción: al utilizar Amazon ECS Exec, Amazon ECS administra los permisos necesarios para iniciar sesiones de Amazon ECS Exec en sus tareas.
+ Acción: al utilizar Amazon ECS Service Connect, Amazon ECS administra los recursos de AWS Cloud Map necesarios para utilizar la función.
+ Acción: al utilizar proveedores de capacidad de Amazon ECS, este servicio administra los permisos necesarios para modificar el grupo de escalado automático y sus instancias de Amazon EC2.
+ Acción: Amazon ECS puede actualizar los atributos de los servicios de AWS Cloud Map que administra Amazon ECS.
+ Acción: Amazon ECS puede invocar el ENI de aprovisionamiento y desaprovisionamiento de Amazon EC2 al iniciar y detener tareas.
+ Acción: Amazon ECS puede recuperar ventanas de eventos de Amazon EC2 para los servicios y clústeres asociados a ventanas de eventos.

Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Creación de un rol vinculado al servicio para Amazon ECS
<a name="create-service-linked-role-clusters"></a>

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un clúster o crea o actualiza un servicio en la Consola de administración de AWS, la AWS CLI, o la API de AWS, Amazon ECS crea el rol vinculado al servicio. 

**importante**  
 Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Si utilizaba el servicio de Amazon ECS antes del 1 de enero de 2017, fecha en que comenzó a admitir los roles vinculados al servicio, Amazon ECS creó el rol AWSServiceRoleForECS en su cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

También puede usar la consola de IAM para crear un rol vinculado al servicio con el caso de uso **AWSServiceRoleForECS**. En la AWS CLI o la API de AWS, utilice IAM para crear un rol vinculado al servicio con el nombre de servicio `ecs.amazonaws.com`. Para obtener más información, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un clúster o crea o actualiza un servicio, Amazon ECS vuelve a crear el rol vinculado al servicio. 

Si elimina este rol vinculado al servicio, puede utilizar el mismo proceso de IAM para volver a crear el rol.

## Edición de un rol vinculado al servicio para Amazon ECS
<a name="edit-service-linked-role-clusters"></a>

Amazon ECS no permite editar el rol vinculado al servicio AWSServiceRoleForECS. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminación de un rol vinculado al servicio para Amazon ECS
<a name="delete-service-linked-role-clusters"></a>

No es necesario eliminar de forma manual el rol AWSServiceRoleForECS. Cuando elimina clústeres en todas las regiones de la Consola de administración de AWS, la AWS CLI o la API de AWS, Amazon ECS limpia los recursos y elimina el rol vinculado al servicio automáticamente.

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.

### Limpiar un rol vinculado a servicios
<a name="service-linked-role-review-before-delete-clusters"></a>

Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol.

**nota**  
Si el servicio de Amazon ECS utiliza el rol al intentar eliminar los recursos, se podría producir un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

**Eliminación de los recursos de Amazon ECS utilizados por AWSServiceRoleForECS (consola)**

1. Reduzca los servicios de Amazon ECS hasta el recuento deseado de 0 en todas las regiones y, a continuación, elimine los servicios. Para obtener más información, consulte [Actualización de un servicio de Amazon ECS](update-service-console-v2.md) y [Eliminación de un servicio de Amazon ECS mediante la consola](delete-service-v2.md).

1. Fuerce la cancelación del registro de todas las instancias de contenedor de todos los clústeres de todas las regiones. Para obtener más información, consulte [Anulación del registro de una instancia de contenedor de Amazon ECS](deregister_container_instance.md).

1. Elimine todos los clústeres de Amazon ECS de todas las regiones. Para obtener más información, consulte [Eliminación de un clúster de Amazon ECS](delete_cluster-new-console.md).

**Eliminación de recursos de Amazon ECS utilizados por AWSServiceRoleForECS (AWS CLI)**

1. Reduzca los servicios de Amazon ECS hasta el recuento deseado de 0 en todas las regiones y, a continuación, elimine los servicios. Para obtener más información, consulte [update-service](https://docs.aws.amazon.com/cli/latest/reference/ecs/update-service.html) y [delete-service](https://docs.aws.amazon.com/cli/latest/reference/ecs/delete-service.html) en la referencia de AWS Command Line Interface.

1. Fuerce la cancelación del registro de todas las instancias de contenedor de todos los clústeres de todas las regiones. Para obtener más información, consulte [deregister-container-instance](https://docs.aws.amazon.com/cli/latest/reference/ecs/deregister-container-instance.html).

1. Elimine todos los clústeres de Amazon ECS de todas las regiones. Para obtener más información, consulte [delete-cluster](https://docs.aws.amazon.com/cli/latest/reference/ecs/delete-cluster.html).

**Eliminación de recursos de Amazon ECS utilizados por AWSServiceRoleForECS (API)**

1. Reduzca los servicios de Amazon ECS hasta el recuento deseado de 0 en todas las regiones y, a continuación, elimine los servicios. Para obtener más información, consulte [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html) y [DeleteService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DeleteService.html) en la *Referencia de la API de Amazon ECS*.

1. Fuerce la cancelación del registro de todas las instancias de contenedor de todos los clústeres de todas las regiones. Para obtener más información, consulte [DeregisterContainerInstance](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DeregisterContainerInstance.html).

1. Elimine todos los clústeres de Amazon ECS de todas las regiones. Para obtener más información, consulte [DeleteCluster](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DeleteCluster.html).

### Eliminación manual de un rol vinculado a servicios
<a name="slr-manual-delete-clusters"></a>

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForECS. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

## Regiones admitidas para los roles vinculados al servicio de Amazon ECS
<a name="slr-regions-clusters"></a>

Amazon ECS admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).

# Uso de roles para administrar instancias administradas de Amazon ECS
<a name="using-service-linked-roles-instances"></a>

Amazon Elastic Container Service utiliza [roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon ECS. Los roles vinculados a servicios se encuentran predefinidos por Amazon ECS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado al servicio simplifica la configuración de Amazon ECS porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon ECS define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon ECS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon ECS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque aquellos servicios que tengan **Sí** en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de roles vinculados al servicio para Amazon ECS
<a name="service-linked-role-permissions-instances"></a>

Amazon ECS utiliza el rol vinculado al servicio denominado **AWSServiceRoleForECSCompute**: rol para permitir a Amazon ECS administrar instancias administradas de Amazon EC2, aprovisionadas por el proveedor de capacidad de instancias administradas de Amazon ECS.

El rol vinculado al servicio AWSServiceRoleForECSCompute depende de los siguientes servicios para asumir el rol:
+ `ecs-compute.amazonaws.com`

La política de permisos del rol denominada [`AmazonECSComputeServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonECSComputeServiceRolePolicy) permite que Amazon ECS complete las siguientes tareas:
+ Amazon ECS puede describir y eliminar plantillas de lanzamiento.
+  Amazon ECS puede describir y eliminar versiones de plantillas de lanzamiento.
+ Amazon ECS puede terminar instancias.
+ Amazon ECS puede describir los siguientes parámetros de datos de instancia:
  + Instancia
  + Interfaces de red de instancias: Amazon ECS puede describir el permiso para administrar el ciclo de vida de las instancias de EC2.
  + Ventana de eventos de instancia: Amazon ECS puede describir la información de la ventana de eventos para determinar si se puede interrumpir el flujo de trabajo para aplicar parches a la instancia.
  + Estado de la instancia: Amazon ECS puede describir el estado de la instancia para supervisar su estado.

Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Creación de un rol vinculado al servicio para Amazon ECS
<a name="create-service-linked-role-instances"></a>

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un proveedor de capacidad para instancias administradas de Amazon ECS en la Consola de administración de AWS, la AWS CLI, o la API de AWS, Amazon ECS crea el rol vinculado al servicio en su nombre. 

**importante**  
 Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Si utilizaba el servicio de Amazon ECS antes del 1 de enero de 2017, fecha en que comenzó a admitir los roles vinculados al servicio, Amazon ECS creó el rol AmazonECSComputeServiceRolePolicy en su cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un proveedor de capacidad para instancias administradas de Amazon ECS, Amazon ECS vuelve a crear el rol vinculado al servicio en su nombre. 

Si elimina este rol vinculado al servicio, puede utilizar el mismo proceso de IAM para volver a crear el rol.

## Edición de un rol vinculado al servicio para Amazon ECS
<a name="edit-service-linked-role-instances"></a>

Amazon WorkMail no le permite editar el rol vinculado al servicio AmazonECSComputeServiceRolePolicy. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminación de un rol vinculado al servicio para Amazon ECS
<a name="delete-service-linked-role-instances"></a>

No necesita eliminar manualmente el rol AmazonECSComputeServiceRolePolicy. Cuando elimina todos los proveedores de capacidad de instancias administradas de Amazon ECS en todas las regiones de la Consola de administración de AWS, la AWS CLI o la API de AWS, Amazon ECS limpia los recursos y elimina el rol vinculado al servicio automáticamente.

### Eliminación manual de un rol vinculado a servicios
<a name="slr-manual-delete-instances"></a>

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AmazonECSComputeServiceRolePolicy. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

## Regiones admitidas para los roles vinculados al servicio de Amazon ECS
<a name="slr-regions-instances"></a>

Amazon ECS admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).