Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Agregación de un rol de servicio con permisos para implementar recursos de backend
<a name="amplify-service-role"></a>

Amplify requiere permisos para implementar recursos de backend con el frontend. Se utiliza un rol de servicio para llevar esto a cabo. Un rol de servicio es el rol AWS Identity and Access Management (IAM) que proporciona a Amplify Hosting permisos para implementar, crear y administrar backends en tu nombre.

Cuando crea una aplicación que requiere un rol de servicio de IAM, puede permitir que Amplify Hosting cree automáticamente uno en su lugar, o puede especificar un rol de IAM que haya creado usted. En esta sección, creará un rol de servicio de Amplify que tenga permisos administrativos de cuenta y que permita explícitamente el acceso directo a los recursos que las aplicaciones de Amplify requieren para implementar. crear y administrar backends.

## Para crear un rol de servicio de Amplify en la consola de IAM
<a name="create-service-role"></a>

**Para crear un rol de servicio**

1.  [Abra la consola de IAM](https://console.aws.amazon.com/iam/home?#/roles) y elija **Roles** en la barra de navegación izquierda y, a continuación, **Crear rol**.

1. En la página **Seleccionar tipo de entidad de confianza**, elija **Servicio de AWS **. En **Caso de uso**, seleccione **Amplify - Implementación de backend** y, luego **Siguiente**.

1. En la página **Agregar permisos**, elija **Siguiente**.

1. En la página **Asignar nombre, revisar y crear**, en **Nombre de rol**, ingrese un nombre relevante, como **AmplifyConsoleServiceRole-AmplifyRole**.

1. Acepte todos los valores predeterminados y, a continuación, elija **Crear rol**.

1. Vuelva a la consola de Amplify para adjuntar el rol a su aplicación.
   + Si está en proceso de implementar una nueva aplicación, haga lo siguiente:

     1. Actualice la lista de roles de servicio.

     1. Seleccione el rol que acaba de crear. **En este ejemplo, debería tener un aspecto similar a -. AmplifyConsoleServiceRole AmplifyRole**

     1. Seleccione **Siguiente** y siga los pasos para completar la implementación de la aplicación.
   + Si tiene una aplicación existente, haga lo siguiente:

     1. En el panel de navegación, elija **Configuración de la aplicación** y, luego, elija **Roles de IAM**.

     1. En la página **Roles de IAM**, en la sección **Rol de servicio**, seleccione **Editar**.

     1. En la página **Rol de servicio**, seleccione el rol que acaba de crear en la lista **Rol de servicio**.

     1. Seleccione **Save**.

1. Amplify ahora tiene permisos para implementar los recursos de backend para su aplicación.

## Edición de la política de confianza de un rol de servicio para evitar un suplente confuso
<a name="confused-deputy-prevention"></a>

El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. Para obtener más información, consulte [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md).

En la actualidad, la política de confianza predeterminada para el rol de servicio `Amplify-Backend Deployment` impone las claves de condición del contexto global `aws:SourceArn` y `aws:SourceAccount` para evitar que se confunda el representante. Sin embargo, si ya ha creado un rol de `Amplify-Backend Deployment` en su cuenta, puede actualizar la política de confianza del rol para añadir estas condiciones y evitar que el representante se confunda.

Utilice el siguiente ejemplo para restringir el acceso a las aplicaciones de su cuenta. En el ejemplo, reemplace la región y el ID de la aplicación con su información.

```
"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:{{us-east-1}}:{{123456789012}}:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "{{123456789012}}"
      }
    }
```

Para obtener instrucciones sobre cómo editar la política de confianza de un rol mediante el Consola de administración de AWS, consulte [Modificación de un rol (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) en la *Guía del usuario de IAM*.