Roles vinculados a servicios de Amazon EC2 Auto Scaling - Amazon EC2 Auto Scaling
Descripción generalPermisos concedidos por el rol vinculado a serviciosRegiones que admiten los roles vinculados a servicios de Amazon EC2 Auto ScalingCreación, edición y eliminación de un rol vinculado a un servicio

Roles vinculados a servicios de Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling utiliza roles vinculados a servicios para los permisos que necesita a fin de llamar a otros Servicios de AWS en su nombre. Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a un Servicio de AWS.

Los roles vinculados a servicios ofrecen una manera segura de delegar permisos a otros Servicios de AWS, ya que solo los servicios vinculados pueden asumir roles vinculados a servicios. Para obtener más información, consulte Creación de un rol vinculado al servicio en la Guía del usuario de IAM. Los roles vinculados a servicios también permiten que todas las llamadas a la API puedan verse a través de AWS CloudTrail. Esta ayuda a monitorear y auditar los requisitos, ya que se puede hacer un seguimiento de todas las acciones que Amazon EC2 Auto Scaling lleva a cabo en su nombre. Para obtener más información, consulte Registro de llamadas a la API de Amazon EC2 Auto Scaling con AWS CloudTrail.

En las secciones siguientes se describe cómo crear y administrar roles vinculados a servicios de Amazon EC2 Auto Scaling. Para empezar, configure permisos que permitan a una identidad de IAM (como un usuario o rol) crear, editar o eliminar un rol vinculado al servicio.

Descripción general

Hay dos tipos de roles vinculados a servicios de Amazon EC2 Auto Scaling:

  • El rol vinculado a servicios predeterminado de la cuenta, denominado AWSServiceRoleForAutoScaling. Este rol se asigna automáticamente a los grupos de Auto Scaling, a menos que se haya especificado otro rol vinculado a servicios.

  • Un rol vinculado a servicios con un sufijo personalizado que se especifica al crear el rol, por ejemplo, mysuffix de AWSServiceRoleForAutoScaling_.

Los permisos de un rol vinculado a servicios con un sufijo personalizado son idénticos a los del rol vinculado a servicios predeterminado. En ninguno de los dos casos podrá editar los roles. Tampoco podrá eliminarlos si hay un grupo de escalado automático que los está usando. La única diferencia es el sufijo del nombre del rol.

Puede especificar cualquiera de los dos roles cuando edite las políticas de claves de AWS Key Management Service para permitir que las instancias que lance Amazon EC2 Auto Scaling se cifren con la clave administrada por el cliente. Sin embargo, si tiene previsto proporcionar acceso pormenorizado a una determinada clave administrada por el cliente, debe utilizar un rol vinculado a servicios con un sufijo personalizado. El uso de un rol vinculado a servicios con un sufijo personalizado le ofrece:

  • Mayor control sobre la clave administrada por el cliente

  • La capacidad de comprobar en los registros de CloudTrail qué grupo de escalado automático hizo una llamada a la API.

Si crea las claves administradas por el cliente de forma que no todos los usuarios tangan acceso a ellas, siga estos pasos para permitir el uso de un rol vinculado a servicios con un sufijo personalizado:

  1. Cree un rol vinculado a servicios con un sufijo personalizado. Para obtener más información, consulte Creación de un rol vinculado a servicios (manual).

  2. Proporcione al rol vinculado a servicios acceso a una clave administrada por el cliente. Para obtener más información acerca de la política de claves que permite que un rol vinculado a servicios utilice la clave, consulte Política de claves AWS KMS necesaria para usar con volúmenes cifrados.

  3. Dé acceso a los usuarios al rol vinculado a servicios que creó. Para obtener más información sobre la creación de la política de IAM, consulte Controlar qué roles vinculados a servicios se pueden transferir (utilizando PassRole). Si los usuarios intentan especificar un rol vinculado a servicios sin permiso para transferir ese rol al servicio, recibirán un error.

Permisos concedidos por el rol vinculado a servicios

Amazon EC2 Auto Scaling utiliza el rol vinculado a servicios denominado AWSServiceRoleForAutoScaling o el rol suffix service-linked personalizado.

El rol vinculado a servicio de confía en el siguiente servicio para asumir el rol:

  • autoscaling.amazonaws.com

La política de permisos del rol, AutoScalingServiceRolePolicy, permite que Amazon EC2 Auto Scaling complete las siguientes acciones:

  • ec2: crear, describir, modificar, iniciar o detener y terminar instancias de EC2.

  • iam: transmitir los roles de IAM a las instancias de EC2 para que las aplicaciones que se ejecutan en las instancias puedan acceder a las credenciales temporales del rol.

  • iam: crear el rol vinculado a servicios denominado AWSServiceRoleForEC2Spot para permitir que Amazon EC2 Auto Scaling inicialice instancias de spot en su nombre.

  • elasticloadbalancing: registrar y anular el registro de instancias con Elastic Load Balancing y comprobar el estado de los destinos registrados.

  • cloudwatch: crear, describir, modificar y eliminar las alarmas de CloudWatch para las políticas de escalado y recuperar las métricas utilizadas en el escalado predictivo.

  • sns: publicar notificaciones en Amazon SNS cuando se inicialicen o terminen instancias.

  • events: crear, describir, actualizar y eliminar las reglas de EventBridge en su nombre.

  • ssm: lea los parámetros del Almacén de parámetros cuando utilice un parámetro de Systems Manager como alias de un ID de AMI en una plantilla de inicialización.

  • vpc-lattice: registrar y anular el registro de instancias con VPC Lattice y comprobar el estado de los objetivos registrados.

  • resource-groups: obtenga todos los nombres de recursos (ARN) de los recursos que son miembros de un grupo de recursos especificado.

Regiones que admiten los roles vinculados a servicios de Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling admite el uso de roles vinculados a servicios en todas las Regiones de AWS en las que el servicio esté disponible.

Creación, edición y eliminación de un rol vinculado a un servicio

Creación de un rol vinculado a servicios (automático)

Amazon EC2 Auto Scaling crea automáticamente el rol vinculado a servicios AWSServiceRoleForAutoScaling la primera vez que usted crea un grupo de escalado automático, a menos que cree manualmente un rol vinculado a servicios con sufijo personalizado y lo especifique al crear el grupo.

Debe tener permisos de IAM para crear el rol vinculado a servicios. De lo contrario, la creación automática no se lleva a cabo. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM y Creación de un rol vinculado al servicio en esta guía.

Creación de un rol vinculado a servicios (manual)

Para crear un rol vinculado a un servicio (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Roles, Crear rol.

  3. En Select trusted entity (Seleccionar entidad de confianza), elija AWS service (Servicio de ).

  4. En Choose the service that will use this role (Seleccione el servicio que va a usar este rol), elija EC2 Auto Scaling y el caso de uso EC2 Auto Scaling.

  5. Seleccione Next: Permissions (Siguiente: permisos), Next: Tags (Siguiente: etiquetas) y Next: Review (Siguiente: revisar). Nota: no se pueden asociar etiquetas a un rol vinculado a servicios durante su creación.

  6. En la página Review (Revisar), deje el campo Role name (Nombre del rol) en blanco para crear un rol vinculado a servicios llamado AWSServiceRoleForAutoScaling, o especifique un sufijo para crear un rol vinculado a servicios llamado AWSServiceRoleForAutoScaling_sufijo.

  7. (Opcional) En Role description (Descripción del rol), modifique la descripción del nuevo rol vinculado a servicios.

  8. Seleccione Crear rol.

Para crear un rol vinculado a un servicio (AWS CLI)

Utilice el siguiente comando create-service-linked-role de la CLI para crear un rol de Amazon EC2 Auto Scaling vinculado a servicios con el nombre AWSServiceRoleForAutoScaling_sufijo. 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

El resultado de este comando incluye el ARN del rol vinculado a servicios, que puede utilizar para conceder a este rol acceso a su clave administrada por el cliente. 

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",		 	 	 
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

Para obtener más información, consulte Creación de un rol vinculado al servicio en la Guía del usuario de IAM.

Editar el rol vinculado a servicios

Los roles vinculados a servicios que se crean para Amazon EC2 Auto Scaling no se pueden editar. Después de crear un rol vinculado a servicios, no se puede modificar el nombre ni los permisos. Sin embargo, sí se puede modificar la descripción del rol. Para obtener más información, consulte la Descripción sobre cómo editar un rol vinculado al servicio en la Guía del usuario de IAM.

Eliminar el rol vinculado a servicios

Si no está utilizando un grupo de escalado automático, le recomendamos que elimine el rol vinculado a servicios. Si lo elimina, evitará tener una entidad que no se utiliza o no tendrá que monitorizarla o mantenerla de forma activa.

Solo puede eliminar un rol vinculado a servicios después de eliminar los recursos dependientes relacionados. De este modo, evitará también que pueda revocar por accidente los permisos de Amazon EC2 Auto Scaling para los recursos. Si un rol vinculado a servicios se utiliza con varios grupos de Auto Scaling, debe eliminar todos los grupos de Auto Scaling que utilicen ese rol vinculado a servicios para poder eliminarlo. Para obtener más información, consulte Eliminación de la infraestructura de Auto Scaling.

Puede utilizar IAM para eliminar un rol vinculado a servicios. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Si elimina el rol vinculado a servicios AWSServiceRoleForAutoScaling, Amazon EC2 Auto Scaling lo volverá a crear cuando usted cree un grupo de escalado automático, pero no especifique otro rol vinculado a servicios.