Usar roles vinculados a servicios en Amazon Route 53 Resolver - Amazon Route 53
Permisos de roles vinculados a servicios para VPC ResolverCreación de un rol vinculado a un servicio para el solucionador de VPCEdición de un rol vinculado a un servicio para VPC ResolverEliminar un rol vinculado a un servicio para el solucionador de VPCRegiones compatibles con las funciones vinculadas al servicio de resolución de VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Usar roles vinculados a servicios en Amazon Route 53 Resolver

El solucionador de VPC de Route 53 utiliza funciones vinculadas al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a VPC Resolver. VPC Resolver predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Una función vinculada a un servicio facilita la configuración de VPC Resolver, ya que no es necesario añadir manualmente los permisos necesarios. VPC Resolver define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo VPC Resolver puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos relacionados. Esto protege sus recursos de VPC Resolver porque no puede eliminar el permiso de acceso a los recursos de forma inadvertida.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-Linked Role (Rol vinculado a un servicio). Elija una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para VPC Resolver

VPC Resolver utiliza la función AWSServiceRoleForRoute53Resolvervinculada al servicio para entregar los registros de consultas en su nombre.

La política de permisos de roles permite a VPC Resolver realizar las siguientes acciones en sus recursos:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups",
        "s3:GetBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para el solucionador de VPC

No necesita crear manualmente un rol vinculado a servicios. Al crear una asociación de configuración del registro de consultas de resolución en la consola, la o la AWS CLI AWS API de Amazon Route 53, VPC Resolver crea el rol vinculado al servicio por usted.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio VPC Resolver antes del 12 de agosto de 2020, cuando comenzó a admitir funciones vinculadas a servicios, VPC Resolver creó la función en su cuenta. AWSServiceRoleForRoute53Resolver Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una asociación de configuración del registro de consultas de Resolver, el rol vinculado a un servicio AWSServiceRoleForRoute53Resolver se crea de nuevo automáticamente.

Edición de un rol vinculado a un servicio para VPC Resolver

El solucionador de VPC no permite editar el rol vinculado al AWSServiceRoleForRoute53Resolver servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminar un rol vinculado a un servicio para el solucionador de VPC

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de resolución de VPC utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de VPC Resolver utilizados por el AWSServiceRoleForRoute53Resolver

  1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en https://console.aws.amazon.com/route53/.

  2. Expanda el menú de la consola de Route 53. En la esquina superior izquierda de la consola, elija el icono de las tres barras horizontales ( Menu icon ).

  3. En el menú Resolver, elija Registro de consultas.

  4. Seleccione la casilla de verificación situada junto al nombre de la configuración del registro de consultas y, a continuación, elija Delete (Eliminar).

  5. En el cuadro de texto Delete query logging configuration (Eliminar la configuración del registro de consultas), seleccione Stop logging queries (Detener el registro de consultas).

    Esto desasociará la configuración de la VPC. También puede desasociar la configuración del registro de consultas mediante programación. Para obtener más información, consulte disassociate-resolver-query-log-config.

  6. Después de que las consultas de registro se hayan detenido, de forma opcional puede escribir delete en el campo y elegir Delete (Eliminar) para eliminar la configuración del registro de consultas. No obstante, esta acción no es necesaria para eliminar los recursos que utiliza AWSServiceRoleForRoute53Resolver.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForRoute53Resolver servicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles con las funciones vinculadas al servicio de resolución de VPC

VPC Resolver no admite el uso de funciones vinculadas a servicios en todas las regiones en las que el servicio está disponible. Puede usar el rol AWSServiceRoleForRoute53Resolver en las siguientes regiones.

Nombre de la región Identidad de la región Support en VPC Resolver
Este de EE. UU. (Norte de Virginia) us-east-1
Este de EE. UU. (Ohio) us-east-2
Oeste de EE. UU. (Norte de California) us-west-1
Oeste de EE. UU. (Oregón) us-west-2
Asia-Pacífico (Mumbai) ap-south-1
Asia-Pacífico (Osaka) ap-northeast-3
Asia-Pacífico (Seúl) ap-northeast-2
Asia-Pacífico (Singapur) ap-southeast-1
Asia-Pacífico (Sídney) ap-southeast-2
Asia-Pacífico (Tokio) ap-northeast-1
Canadá (centro) ca-central-1
Europa (Fráncfort) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2
Europa (París) eu-west-3
América del Sur (São Paulo) sa-east-1
China (Pekín) cn-north-1
China (Ningxia) cn-northwest-1
AWS GovCloud (US) us-gov-east-1
AWS GovCloud (US) us-gov-west-1