Cómo utilizar roles vinculados a servicios de AWS Support
Las herramientas de AWS Support recopilan información sobre sus recursos de AWS a través de llamadas a la API para proporcionar un servicio de atención al cliente y un soporte técnico. Para aumentar la transparencia y la posibilidad de llevar a cabo auditorías de las actividades de soporte, Soporte utiliza un rol vinculado a servicio de AWS Identity and Access Management (IAM).
El rol vinculado a servicio de AWSServiceRoleForSupport es un rol de IAM único que está vinculado directamente a Soporte. Este rol vinculado a servicio está predefinido e incluye todos los permisos que Soporte requiere para llamar a los demás servicios de AWS en su nombre.
El rol vinculado a servicios AWSServiceRoleForSupport confía en el servicio support.amazonaws.com para asumir el rol.
Para proporcionar estos servicios, los permisos predefinidos del rol conceden a Soporte acceso a los metadatos de los recursos, no a los datos de los clientes. Únicamente las herramientas de Soporte pueden asumir este rol, que existe en su cuenta de AWS.
Redactamos campos que podrían contener datos de clientes. Por ejemplo, los campos Input y Output de GetExecutionHistory para la llamada a la API de AWS Step Functions no están visibles para Soporte. Usamos AWS KMS keys para cifrar los campos confidenciales. Estos campos están redactados en la respuesta de la API y no son visibles para agentes de AWS Support.
nota
AWS Trusted Advisor utiliza un rol vinculado a servicio de IAM independiente para tener acceso a los recursos de AWS de su cuenta con objeto de proporcionar verificaciones y recomendaciones sobre prácticas recomendadas. Para obtener más información, consulte Cómo utilizar roles vinculados a servicios de Trusted Advisor.
El rol vinculado a servicio AWSServiceRoleForSupport permite que todas las llamadas a la API de AWS Support sean visibles para los clientes a través de AWS CloudTrail. Esto le ayuda a cumplir sus requisitos de supervisión y auditoría, ya que brinda una manera transparente de comprender las acciones que Soporte realiza en su nombre. Para obtener información acerca de CloudTrail, consulte la Guía del usuario de AWS CloudTrail.
Permisos de roles vinculados a servicios de Soporte
Este rol utiliza la política administrada por AWSSupportServiceRolePolicy AWS. Esta política administrada está adjunta al rol y permite que el permiso del rol lleve a cabo acciones en su nombre.
Estas acciones pueden incluir las siguientes:
-
Servicios administrativos, de facturación, de soporte y otros servicios de atención al cliente: el servicio al cliente de AWS utiliza los permisos que le concede la política administrada para prestar una serie de servicios que forman parte de su plan de soporte. Esto incluye investigar y responder a preguntas relacionadas con la cuenta y la facturación, proporcionar soporte administrativo para la cuenta, aumentar las cuotas de servicio y ofrecer otros tipos de atención al cliente.
-
Procesamiento de atributos de servicio y datos de uso de su cuenta de AWS: Soporte puede utilizar los permisos que le concede la política administrada para obtener acceso a los atributos de servicio y los datos de uso de su cuenta de AWS. Esta política permite a Soporte proporcionar soporte técnico, de facturación y de soporte de facturación para su cuenta. Los atributos de servicio incluyen los identificadores de recursos, las etiquetas de metadatos, los roles y los permisos de su cuenta. Los datos de uso incluyen las políticas de uso, las estadísticas de uso y los análisis.
-
Mantenimiento del estado operativo de su cuenta y sus recursos: Soporte utiliza herramientas automatizadas para llevar a cabo acciones relacionadas con la asistencia técnica y operativa.
Para obtener más información sobre los servicios y acciones permitidos, consulte la política de AWSSupportServiceRolePolicy
nota
AWS Support actualiza automáticamente la política AWSSupportServiceRolePolicy una vez al mes para agregar permisos para nuevos servicios y acciones de AWS.
Para obtener más información, consulte AWS Políticas de administradas por para AWS Support.
Creación de un rol vinculado a un servicio de Soporte
No necesita crear manualmente un rol AWSServiceRoleForSupport. Al crear una cuenta de AWS, este rol se crea y se configura automáticamente para usted.
importante
Si utilizaba Soporte antes de que comenzara a admitir los roles vinculados a servicios, AWS creó el rol AWSServiceRoleForSupport en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en la cuenta de IAM.
Edición y eliminación de un rol vinculado al servicio de Soporte
Puede utilizar IAM para editar la descripción del rol vinculado a servicio AWSServiceRoleForSupport. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
El rol AWSServiceRoleForSupport es necesario para que Soporte proporcione soporte técnico, operativo y administrativo para su cuenta. Por ello, este rol no se puede eliminar a través de la consola de IAM, la API o la CLI AWS Command Line Interface (AWS CLI). De esta forma, se protege su cuenta de AWS, ya que usted no podrá eliminar accidentalmente los permisos necesarios para administrar los servicios de soporte.
Los clientes que se hayan incorporado a AWS Organizations y quienes tienen un plan Enterprise Soporte, pueden eliminar el rol vinculado al servicio AWSServiceRoleForSupport. La eliminación de este rol restringe el acceso de los ingenieros AWS Support a sus recursos, lo que limita su capacidad para realizar acciones en su nombre. Para obtener más información o para solicitar la eliminación del rol AWSServiceRoleForSupport vinculado al servicio, póngase en contacto con su administrador técnico de cuentas (TAM).
Para obtener más información sobre el rol de AWSServiceRoleForSupport o sus usos, póngase en contacto con Soporte
