Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de un rol vinculado a servicios (SLR) con ACM
AWS Certificate Manager utiliza una [función vinculada a un servicio AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) para permitir la renovación automática de los certificados privados emitidos desde una entidad de certificación privada para otra cuenta compartida por ella. AWS Resource Access Manager Una función vinculada a un servicio (SLR) es una función de IAM que está vinculada directamente al servicio de ACM. SLRs están predefinidos por ACM e incluyen todos los permisos que el servicio requiere para llamar a otros servicios en su nombre. AWS
El SLR simplifica la configuración de ACM y usted ya no tendrá que agregar de forma manual los permisos necesarios para la firma de certificados sin supervisión. ACM define los permisos de este SLR y, a menos que se defina de otro modo, solo ACM puede asumir el rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios compatibles SLRs, consulte [AWS Servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que tienen la palabra **«Sí» en la columna** Función vinculada al **servicio**. Elija la opción **Yes (Sí)** con un enlace para ver la documentación de SLR para ese servicio.
## Permisos de SLR para ACM
ACM utiliza un SLR denominado política de rol de servicio de Amazon Certificate Manager.
La AWSService RoleForCertificateManager SLR confía en los siguientes servicios para asumir la función:
+ `acm.amazonaws.com`
La política de permisos del rol permite que ACM realice las siguientes acciones en los recursos especificados:
+ Acciones: `acm-pca:IssueCertificate`, `acm-pca:GetCertificate` en “\$1”
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un SLR. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
**importante**
ACM podría avisarle que no puede determinar si existe un SLR en su cuenta. Si ya se ha concedido el permiso `iam:GetRole` necesario al SLR de ACM para su cuenta, el aviso no se repetirá después de crearse el SLR. Si se repite, es posible que usted o el administrador de su cuenta tengan que conceder el permiso `iam:GetRole` a ACM o asociar la cuenta a la política `AWSCertificateManagerFullAccess` administrada por ACM.
## Creación del SLR para ACM
No será necesario crear de forma manual el SLR que utiliza ACM. Al emitir un certificado de ACM mediante la Consola de administración de AWS AWS CLI, la API o la AWS API, ACM crea la SLR por usted la primera vez que firma su certificado con una CA privada para otra cuenta compartida. AWS RAM
Si recibe mensajes que indican que ACM no puede determinar si existe una SLR en su cuenta, es posible que su cuenta no haya concedido el permiso de lectura necesario. Autoridad de certificación privada de AWS Esto no impedirá instalar el SLR y aún podrá emitir certificados, pero ACM no podrá renovar los certificados de forma automática hasta que resuelva el problema. Para obtener más información, consulte [Problemas con el rol vinculado a servicios (SLR) de ACM](slr-problems.md).
**importante**
Este SLR puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizabas el servicio ACM antes del 1 de enero de 2017, cuando comenzó a funcionar SLRs, ACM creó el AWSService RoleForCertificateManager rol en tu cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este SLR y necesita crearlo de nuevo, utilice cualquiera de los siguientes métodos:
+ En la consola de IAM, elija **Role**, **Create role** y **Certificate Manager** para crear un nuevo rol con el caso de **CertificateManagerServiceRolePolicy**uso.
+ Con la API de IAM [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)o el AWS CLI comando correspondiente [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html), cree una SLR con el nombre del `acm.amazonaws.com` servicio.
Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.
## Edición del SLR para ACM
ACM no permite editar el rol vinculado al AWSService RoleForCertificateManager servicio. Después de crear un SLR, no puede cambiar el nombre porque varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación del SLR para ACM
Por lo general, no es necesario eliminar la SLR. AWSService RoleForCertificateManager Sin embargo, puedes eliminar el rol manualmente mediante la consola de IAM, la AWS CLI o la AWS API. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con ACM SLRs
ACM admite su uso SLRs en todas las regiones en las que están disponibles tanto ACM como yo. Autoridad de certificación privada de AWS Para obtener más información, consulte [AWS Regiones y puntos de conexión](https://docs.aws.amazon.com/general/latest/gr/rande.html).
****
| Nombre de la región | Identidad de la región | Compatibilidad en ACM |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Bombay) | ap-south-1 | Sí |
| Asia Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Zúrich) | eu-central-2 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (EE. UU.-Oeste) | us-gov-west-1 | Sí |
| AWS GovCloud (EE. UU.-Este) Este | us-gov-east-1 | Sí |