Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS Batch Función de ejecución de IAM
La función de ejecución otorga al contenedor y a los AWS Fargate agentes de Amazon ECS permiso para realizar llamadas a la AWS API en su nombre.
**nota**
El rol de ejecución de tareas es compatible con la versión 1.16.0 y posteriores del agente de contenedor de Amazon ECS.
El rol de ejecución de IAM es necesario en función de los requisitos de la tarea. Puede tener varios roles de ejecución de tareas asociados a su cuenta para distintos fines y servicios.
**nota**
Para obtener más información sobre el rol de instancia de Amazon ECS, consulte [Rol de instancia de Amazon ECS](instance_IAM_role.md). Para obtener más información acerca de los roles de servicio, consulte [¿Cómo AWS Batch funciona con IAM](security_iam_service-with-iam.md).
Amazon ECS proporciona la política administrada `AmazonECSTaskExecutionRolePolicy`. Esta política contiene los permisos necesarios para los casos de uso comunes descritos anteriormente. Puede ser necesario agregar políticas en línea al rol de ejecución de tareas para los casos de uso especiales que se describen a continuación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Se admiten permisos a nivel de recursos para AWS Batch las acciones de la API
El término *permisos a nivel de recursos* se refiere a la capacidad de especificar los recursos en los que los usuarios pueden realizar acciones. AWS Batch admite parcialmente los permisos a nivel de recursos. En el caso de algunas AWS Batch acciones, puede controlar cuándo se permite a los usuarios utilizarlas en función de las condiciones que deben cumplirse. También puede controlar en función de los recursos específicos que los usuarios pueden usar. Por ejemplo, puede conceder a los usuarios permisos para enviar trabajos, pero solo a una cola de trabajos específica y únicamente con una definición de trabajo determinada.
Para obtener más información sobre las acciones y los tipos de recursos definidos por AWS Batch, incluido el ARNs formato de cada uno de los tipos de recursos, consulte Acciones, recursos y claves de condición [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)en la *Referencia de autorización de servicio*.
# Tutorial: creación del rol de ejecución de IAM
Si su cuenta aún no tiene un rol de ejecución de IAM, siga estos pasos para crear el rol.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. Elija **Creación de rol**.
1. En **Tipo de entidad de confianza**, elija ** Servicio de AWS**.
1. En **Servicio o caso de uso**, elija **Elastic Container Service**. Luego elija nuevamente **Tarea de Elastic Container Service**.
1. Elija **Siguiente**.
1. Para **ver las políticas de permisos**, busca **Amazon ECSTask ExecutionRolePolicy**.
1. Selecciona la casilla de verificación situada a la izquierda de la ECSTask ExecutionRolePolicy política de **Amazon** y, a continuación, selecciona **Siguiente**.
1. En **Nombre de rol**, escriba `ecsTaskExecutionRole` y luego elija **Creación de rol**.
# Tutorial: comprobación del rol de ejecución de IAM
Utilice el procedimiento siguiente para comprobar si la cuenta ya dispone del rol de ejecución de IAM y para asociar la política de IAM gestionada en caso necesario.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En la lista de roles, busque `ecsTaskExecutionRole`. Si no puede encontrar el rol, consulte [Tutorial: creación del rol de ejecución de IAM](create-execution-role.md). Si el rol existe, selecciónelo para ver sus políticas asociadas.
1. En la pestaña **Permisos**, comprueba que la política ECSTask ExecutionRolePolicy gestionada por **Amazon** esté asociada al rol. Si la política se ha asociado, el rol de ejecución de la tarea está configurado correctamente. En caso contrario, siga los pasos derivados a continuación para asociar la política.
1. Elija **Agregar permisos** y luego **Adjuntar políticas**.
1. Busca **Amazon ECSTask ExecutionRolePolicy**.
1. Marca la casilla situada a la izquierda de la ECSTask ExecutionRolePolicy política de **Amazon** y selecciona **Adjuntar políticas**.
1. Seleccione **Trust Relationships**.
1. Verifique que la relación de confianza contiene la siguiente política. Si la relación de confianza coincide con la política siguiente, el rol está configurado correctamente. Si la relación de confianza no coincide, elija **Editar la política de confianza**, introduzca lo siguiente y después elija **Actualizar política**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Utilizar funciones vinculadas al servicio para AWS Batch
AWS Batch [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Batch Los roles vinculados al servicio están predefinidos AWS Batch e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
AWS Batch utiliza dos funciones diferentes vinculadas al servicio:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Para AWS Batch operaciones que incluyen entornos de cómputo.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Para la gestión de cargas de trabajo y la creación de colas mediante SageMaker IA.
**Topics**
+ [Uso de roles para AWS Batch](using-service-linked-roles-batch-general.md)
+ [Uso de roles para la IA AWS Batch SageMaker](using-service-linked-roles-batch-sagemaker.md)
# Uso de roles para AWS Batch
AWS Batch [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Batch Los roles vinculados al servicio están predefinidos AWS Batch e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Batch , ya que no es necesario añadir manualmente los permisos necesarios. AWS Batch define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Batch puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
**nota**
Realice una de las siguientes acciones para especificar una función de servicio para un entorno AWS Batch informático.
Utilice una cadena vacía para el rol de servicio. Esto permite AWS Batch crear el rol de servicio.
Especifique el rol de servicio en el siguiente formato: `arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Para obtener más información, consulte [Nombre de rol o ARN incorrectos](invalid_compute_environment.md#invalid_service_role_arn) la Guía AWS Batch del usuario.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Batch recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para AWS Batch
AWS Batch utiliza el rol vinculado al servicio denominado **AWSServiceRoleForBatch**: permite AWS Batch crear y administrar AWS recursos en su nombre.
El rol AWSService RoleForBatch vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `batch.amazonaws.com`
La política de permisos de roles denominada [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy)permite AWS Batch realizar las siguientes acciones en los recursos especificados:
+ `autoscaling`— Permite AWS Batch crear y gestionar los recursos de Amazon EC2 Auto Scaling. AWS Batch crea y administra grupos de Amazon EC2 Auto Scaling para la mayoría de los entornos informáticos.
+ `ec2`— Permite AWS Batch controlar el ciclo de vida de las instancias de Amazon EC2, así como crear y gestionar plantillas y etiquetas de lanzamiento. AWS Batch crea y gestiona las solicitudes de EC2 Spot Fleet para algunos entornos de computación puntual de EC2.
+ `ecs`- Permite AWS Batch crear y gestionar clústeres de Amazon ECS, definiciones de tareas y tareas para la ejecución de trabajos.
+ `eks`- Permite AWS Batch describir el recurso del clúster Amazon EKS para las validaciones.
+ `iam`- Permite AWS Batch validar y transferir las funciones proporcionadas por el propietario a Amazon EC2, Amazon EC2 Auto Scaling y Amazon ECS.
+ `logs`— Permite AWS Batch crear y gestionar grupos de registros y flujos de registros para AWS Batch trabajos.
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para AWS Batch
No necesita crear manualmente un rol vinculado a servicios. Al crear un entorno informático en la Consola de administración de AWS, la o la AWS API AWS CLI, se AWS Batch crea automáticamente el rol vinculado al servicio.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Si utilizabas el AWS Batch servicio antes del 10 de marzo de 2021, cuando comenzó a admitir funciones vinculadas al servicio, entonces AWS Batch creaste la AWSService RoleForBatch función en tu cuenta. Para obtener más información, consulte [Apareció un nuevo puesto en mi](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Cuenta de AWS
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un entorno informático, vuelve a AWS Batch crear el rol vinculado al servicio para usted.
## Edición de un rol vinculado a un servicio para AWS Batch
AWS Batch no permite editar el rol vinculado al AWSService RoleForBatch servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
**Para permitir que una entidad de IAM edite la descripción del rol vinculado al servicio AWSService RoleForBatch **
Añada la siguiente instrucción a la política de permisos. Esto permite a una entidad de IAM editar la descripción del rol vinculado a servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Eliminar un rol vinculado a un servicio para AWS Batch
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
**Para permitir que una entidad de IAM elimine el rol vinculado al servicio AWSService RoleForBatch **
Añada la siguiente instrucción a la política de permisos. Esto permite a una entidad de IAM eliminar un rol vinculado a un servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Saneamiento de un rol vinculado a servicios
Antes de poder usar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que el rol no tiene sesiones activas y eliminar todos los entornos de AWS Batch procesamiento que utilizan el rol en todas AWS las regiones en una sola partición.
**Para comprobar si el rol vinculado a servicio tiene una sesión activa**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Funciones** y, a continuación, el AWSService RoleForBatch nombre (no la casilla de verificación).
1. En la página **Summary**, elija **Access Advisor** y revise la actividad reciente del rol vinculado a servicio.
**nota**
Si no sabe si AWS Batch está utilizando el AWSService RoleForBatch rol, puede intentar eliminarlo. Si el servicio está utilizando el rol, este no podrá eliminarse. Puede ver las regiones en las que se está utilizando el rol. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a un servicio.
**Para eliminar AWS Batch los recursos utilizados por el rol AWSService RoleForBatch vinculado al servicio**
Debe eliminar todos los entornos AWS Batch informáticos que utilizan el AWSService RoleForBatch rol en todas AWS las regiones antes de poder eliminar el AWSService RoleForBatch rol.
1. Abra la AWS Batch consola en [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. En la barra de navegación, seleccione la región a utilizar.
1. En el panel de navegación, elija **Entornos de computación**.
1. Seleccione el entorno de computación.
1. Elija **Deshabilitar**. Espere a que **Estado** cambie a **DESHABILITADO**.
1. Seleccione el entorno de computación.
1. Elija **Eliminar**. Confirme que desea eliminar el entorno de computación mediante la elección de **Eliminar entorno de computación**.
1. Repita los pasos 1 a 7 para todos los entornos de computación que utilizan la función vinculada al servicio en todas las regiones.
### Eliminación de un rol vinculado a un servicio en IAM (Consola)
Puede utilizar la consola de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (consola)**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la consola de IAM, elija **Roles**. A continuación, active la casilla de verificación situada junto a ella AWSServiceRoleForBatch, no el nombre o la fila en sí.
1. Elija **Eliminar rol**.
1. En el cuadro de diálogo de confirmación, revise los datos del último acceso al servicio, que muestra cuándo cada uno de los roles seleccionados tuvo acceso a un Servicio de AWS por última vez. Esto lo ayuda a confirmar si el rol está actualmente activo. Si desea continuar, seleccione **Yes, Delete** para enviar la solicitud de eliminación del rol vinculado al servicio.
1. Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Como el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, dicha tarea puede realizarse correctamente o fallar después de que envía la solicitud de eliminación.
+ Si la tarea se realiza correctamente, el rol se elimina de la lista y aparece una notificación informando de ello en la parte superior de la página.
+ Si la tarea no se realiza correctamente, puede seleccionar **View details (Ver detalles)** o **View Resources (Ver recursos)** desde las notificaciones para obtener información sobre el motivo por el que no se pudo eliminar el rol. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría informar de todos los recursos, algunos o ninguno.
+ Si se produce un error en la tarea y la notificación no incluye una lista de los recursos, el servicio no podría no devolver dicha información. Para obtener información acerca de cómo limpiar los recursos de ese servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
### Eliminación de un rol vinculado a un servicio en IAM (AWS CLI)
Puede utilizar los comandos de IAM de AWS Command Line Interface para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (CLI)**
1. Como los roles vinculados a servicios no se pueden eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `deletion-task-id` de la respuesta para comprobar el estado de la tarea de eliminación. Ingrese el siguiente comando para enviar una solicitud de eliminación de un rol vinculado a un servicio:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Utilice el siguiente comando para comprobar el estado de la tarea de eliminación:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría devolver todos los recursos, algunos de ellos. O bien, podría no reportar ningún recurso. Para obtener información acerca de cómo limpiar los recursos de un servicio que no está informando de ningún recurso, consulte los [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
### Eliminación de un rol vinculado a servicio en IAM (API de AWS)
Puede utilizar la API de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (API)**
1. Para enviar una solicitud de eliminación de un rol vinculado a un servicio, llame a [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). En la solicitud, especifique el nombre del AWSService RoleForBatch rol.
Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `DeletionTaskId` de la respuesta para comprobar el estado de la tarea de eliminación.
1. Para comprobar el estado de la tarea de eliminación, realice una llamada a [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). En la solicitud, especifique el valor de `DeletionTaskId`.
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría informar de todos los recursos, algunos o ninguno. Para obtener información acerca de cómo limpiar los recursos de un servicio que no está informando de ningún recurso, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
## Regiones compatibles para los roles AWS Batch vinculados al servicio
AWS Batch admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de enlace de AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Uso de roles para la IA AWS Batch SageMaker
AWS Batch [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Batch Los roles vinculados al servicio están predefinidos AWS Batch e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Batch , ya que no es necesario añadir manualmente los permisos necesarios. AWS Batch define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Batch puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Batch recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para AWS Batch
AWS Batch utiliza el rol vinculado al servicio denominado **AWSServiceRoleForAWSBatchWithSagemaker**: permite poner en cola y gestionar AWS Batch los trabajos de SageMaker formación en su nombre.
El rol AWSService RoleFor AWSBatch WithSagemaker vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `sagemaker-queuing.batch.amazonaws.com`
La política de permisos del rol permite AWS Batch realizar las siguientes acciones en los recursos especificados:
+ `sagemaker`— Permite AWS Batch gestionar los trabajos de SageMaker formación, transformar los puestos de trabajo y otros recursos de SageMaker IA.
+ `iam:PassRole`— Permite AWS Batch transferir las funciones de ejecución definidas por el cliente a la SageMaker IA para la ejecución de las tareas. La limitación de recursos permite transferir funciones a SageMaker los servicios de IA.
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para AWS Batch
No necesita crear manualmente un rol vinculado a servicios. Al crear un entorno de servicios mediante `CreateServiceEnvironment` la Consola de administración de AWS, la o la AWS API AWS CLI, se AWS Batch crea automáticamente el rol vinculado al servicio.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un entorno de servicios mediante`CreateServiceEnvironment`, AWS Batch vuelve a crear el rol vinculado al servicio para usted.
Para ver el JSON de la política, consulta la Guía [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)de [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Edición de un rol vinculado a un servicio para AWS Batch
AWS Batch no permite editar el rol vinculado al AWSService RoleFor AWSBatch WithSagemaker servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS Batch
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpiar un rol vinculado a servicios
Antes de poder usar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que el rol no tiene sesiones activas y eliminar todos los entornos de servicio que utilizan el rol en todas AWS las regiones en una sola partición.
**Para comprobar si el rol vinculado a servicio tiene una sesión activa**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Funciones** y, a continuación, el AWSService RoleFor AWSBatch WithSagemaker nombre (no la casilla de verificación).
1. En la página **Summary**, elija **Access Advisor** y revise la actividad reciente del rol vinculado a servicio.
**nota**
Si no sabe si AWS Batch está utilizando el AWSService RoleFor AWSBatch WithSagemaker rol, puede intentar eliminarlo. Si el servicio está utilizando el rol, este no podrá eliminarse. Puede ver las regiones en las que se está utilizando el rol. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a un servicio.
**Para eliminar AWS Batch los recursos utilizados por el rol AWSService RoleFor AWSBatch WithSagemaker vinculado al servicio**
Debe disociar todas las colas de trabajos de todos los entornos de servicio y, a continuación, eliminar todos los entornos de servicio que utilizan el AWSService RoleFor AWSBatch WithSagemaker rol en todas AWS las regiones antes de poder eliminar el rol. AWSService RoleFor AWSBatch WithSagemaker
1. Abra la consola en AWS Batch . [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/)
1. En la barra de navegación, seleccione la región a utilizar.
1. En el panel de navegación, elija **Entornos** y, a continuación, elija **Entornos de servicios**.
1. Seleccione todos los **Entornos de servicio**.
1. Elija **Deshabilitar**. Espere a que **Estado** cambie a **DESHABILITADO**.
1. Seleccione el entorno de servicio.
1. Elija **Eliminar**. Confirme que desea eliminar el entorno de servicio mediante la elección de **Eliminar entorno de servicio**.
1. Repita los pasos 1 a 7 para todos los entornos de servicio que utilizan el rol vinculado al servicio en todas las regiones.
### Eliminación de un rol vinculado a un servicio en IAM (Consola)
Puede utilizar la consola de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (consola)**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la consola de IAM, elija **Roles**. A continuación, active la casilla de verificación situada junto a ella AWSService RoleFor AWSBatchWithSagemaker, no el nombre o la fila en sí.
1. Elija **Eliminar rol**.
1. En el cuadro de diálogo de confirmación, revise los datos del último acceso al servicio, que muestra cuándo cada uno de los roles seleccionados tuvo acceso a un Servicio de AWS por última vez. Esto lo ayuda a confirmar si el rol está actualmente activo. Si desea continuar, seleccione **Yes, Delete** para enviar la solicitud de eliminación del rol vinculado al servicio.
1. Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Como el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, dicha tarea puede realizarse correctamente o fallar después de que envía la solicitud de eliminación.
+ Si la tarea se realiza correctamente, el rol se elimina de la lista y aparece una notificación informando de ello en la parte superior de la página.
+ Si la tarea no se realiza correctamente, puede seleccionar **View details (Ver detalles)** o **View Resources (Ver recursos)** desde las notificaciones para obtener información sobre el motivo por el que no se pudo eliminar el rol. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría informar de todos los recursos, algunos o ninguno.
+ Si se produce un error en la tarea y la notificación no incluye una lista de los recursos, el servicio no podría no devolver dicha información. Para obtener información acerca de cómo limpiar los recursos de ese servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
### Eliminación de un rol vinculado a un servicio en IAM (AWS CLI)
Puede utilizar los comandos de IAM de AWS Command Line Interface para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (CLI)**
1. Como los roles vinculados a servicios no se pueden eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `deletion-task-id` de la respuesta para comprobar el estado de la tarea de eliminación. Ingrese el siguiente comando para enviar una solicitud de eliminación de un rol vinculado a un servicio:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Utilice el siguiente comando para comprobar el estado de la tarea de eliminación:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría devolver todos los recursos, algunos de ellos. O bien, podría no reportar ningún recurso. Para obtener información acerca de cómo limpiar los recursos de un servicio que no está informando de ningún recurso, consulte los [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
### Eliminación de un rol vinculado a servicio en IAM (API de AWS)
Puede utilizar la API de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (API)**
1. Para enviar una solicitud de eliminación de un rol vinculado a un servicio, llame a [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). En la solicitud, especifique el nombre del AWSService RoleFor AWSBatch WithSagemaker rol.
Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `DeletionTaskId` de la respuesta para comprobar el estado de la tarea de eliminación.
1. Para comprobar el estado de la tarea de eliminación, realice una llamada a [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). En la solicitud, especifique el valor de `DeletionTaskId`.
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría informar de todos los recursos, algunos o ninguno. Para obtener información acerca de cómo limpiar los recursos de un servicio que no está informando de ningún recurso, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
## Regiones compatibles para los roles AWS Batch vinculados al servicio
AWS Batch admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de enlace de AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Rol de instancia de Amazon ECS
AWS Batch los entornos de cómputo se rellenan con instancias de contenedor de Amazon ECS. Ejecutan el agente de contenedor de Amazon ECS de forma local. El agente de contenedores de Amazon ECS realiza llamadas a varias operaciones de AWS API en su nombre. Por lo tanto, las instancias de contenedor que ejecutan el agente requieren una política de IAM y un rol para que estos servicios reconozcan que el agente le pertenece. Debe crear un rol de IAM y un perfil de instancia para que las instancias de contenedor los usen cuando se lancen. De lo contrario, no puede crear un entorno de computación y lanzar instancias de contenedor en él. Este requisito se aplica a las instancias de contenedor lanzadas con o sin la AMI optimizada de Amazon ECS proporcionada por Amazon. Para obtener más información, consulte [Rol de instancia de Amazon ECS](#instance_IAM_role) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
**Topics**
+ [Comprobación del rol de instancia de Amazon ECS en su cuenta](batch-check-ecsinstancerole.md)
# Comprobación del rol de instancia de Amazon ECS en su cuenta
El perfil de instancia y el rol de instancia de Amazon ECS se crean automáticamente en la experiencia de primer uso de la consola. Sin embargo, puede seguir estos pasos para verificar si la cuenta ya dispone del rol y el perfil de instancia de Amazon ECS. En los siguientes pasos también se explica cómo adjuntar la política de IAM administrada.
**Tutorial: comprobación del `ecsInstanceRole` en la consola de IAM**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En la lista de roles, busque `ecsInstanceRole`. Si el rol no existe, siga los siguientes pasos para crearlo.
1. Seleccione **Creación de rol**.
1. En **Tipo de entidad de confianza**, elija **Servicio de AWS**.
1. En **Casos de uso comunes**, elija **EC2**.
1. Elija **Siguiente**.
1. Para ver **las políticas de permisos**, busca **Amazon EC2 ContainerServicefor EC2 Role**.
1. Selecciona la casilla de verificación situada junto a **Amazon EC2 ContainerServicefor EC2 Role** y, a continuación, selecciona **Siguiente**.
1. En **Nombre de rol**, escriba `ecsInstanceRole` y elija **Crear rol**.
**nota**
Si utiliza el Consola de administración de AWS para crear un rol para Amazon EC2, la consola crea un perfil de instancia con el mismo nombre que el rol.
Como alternativa, puede usar el AWS CLI para crear el rol de `ecsInstanceRole` IAM. En el siguiente ejemplo, se crea un rol de IAM con una política de confianza y una política AWS gestionada.
**Tutorial: creación de un rol de IAM y un perfil de instancias (AWS CLI)**
1. Cree la siguiente política de confianza y guárdela en un archivo de texto que se denomina `ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Utilice el comando [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) para crear el rol de servicio `ecsInstanceRole`. Especifique la ubicación del archivo de política de confianza en el parámetro `assume-role-policy-document`.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Usa el [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)comando para crear un perfil de instancia con un nombre`ecsInstanceRole`.
**nota**
Debes crear roles y perfiles de instancia como acciones independientes en la AWS API AWS CLI y.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
A continuación, se muestra un ejemplo de respuesta.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Usa el comando [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) para agregar el `ecsInstanceRole` rol al perfil de la `ecsInstanceRole` instancia.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Usa el [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)comando para adjuntar la política `AmazonEC2ContainerServiceforEC2Role` AWS administrada al `ecsInstanceRole` rol.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Rol de flota de spot de Amazon EC2
Si crea un entorno de computación administrado que utiliza las instancias de flota de spot Amazon EC2, debe crear la política `AmazonEC2SpotFleetTaggingRole`. Esta política concede a la flota de spot permiso para lanzar, etiquetar y finalizar instancias en su nombre. Especifique el rol en la solicitud de flota de spot. También debe tener las funciones **AWSServiceRoleForEC2Spot** y **AWSServiceRoleForEC2SpotFleet**vinculadas a servicios para Amazon EC2 Spot y Spot Fleet. Utilice la siguiente instrucción para crear todos estos roles. *Para obtener más información, consulte [Uso de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) y [Creación de un rol para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la Guía del usuario de IAM.*
**Topics**
+ [Cree funciones de flota puntual de Amazon EC2 en el Consola de administración de AWS](spot-fleet-roles-console.md)
+ [Cree funciones de flota puntual en Amazon EC2 con AWS CLI](spot-fleet-roles-cli.md)
# Cree funciones de flota puntual de Amazon EC2 en el Consola de administración de AWS
**Para crear el rol vinculado a servicio de IAM denominado `AmazonEC2SpotFleetTaggingRole` para la flota de spot de Amazon EC2**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En **Gestión de acceso**, seleccione **Roles**,
1. En **Roles**, seleccione **Creación de rol**.
1. En **Seleccione una entidad de confianza** para **Tipo de entidad de confianza**, elija **Servicio de AWS**.
1. **Para otros casos de uso Servicios de AWS**, elija **EC2 y, a continuación, EC2** **- Spot** Fleet Tagging.
1. Elija **Siguiente**.
1. En **Políticas de permisos** para el **Nombre de la política**, compruebe `AmazonEC2SpotFleetTaggingRole`.
1. Elija **Siguiente**.
1. Para **Nombrar, revisar y crear**:
1. En **Nombre de rol**, escriba un nombre para identificar el rol.
1. En **Descripción**, introduzca una breve explicación de la política.
1. (Opcional) En **Paso 1: seleccione entidades de confianza**, elija **Editar** para modificar el código.
1. (Opcional) En el **Paso 2: agregar permisos**, seleccione **Editar** para modificar el código.
1. (Opcional) En **Agregar etiquetas**, elija **Agregar etiqueta** para agregar etiquetas al recurso.
1. Elija **Creación de rol**.
**nota**
En el pasado, había dos políticas administradas para el rol de la flota de spot de Amazon EC2.
**Amazon EC2 SpotFleetRole**: Esta es la política gestionada original para el rol de Spot Fleet. Sin embargo, ya no recomendamos que lo utilice con AWS Batch. Esta política no admite el etiquetado de instancias de spot en entornos de computación, que es obligatorio para utilizar la función vinculada al servicio `AWSServiceRoleForBatch`. Si ya había creado un rol de flota de spot con esta política, aplique la nueva política recomendada a ese rol. Para obtener más información, consulte [Instancias de spot no etiquetadas en el momento de su creación](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: Esta función proporciona todos los permisos necesarios para etiquetar las instancias puntuales de Amazon EC2. Utilice esta función para permitir el etiquetado de instancias puntuales en sus entornos AWS Batch informáticos.
# Cree funciones de flota puntual en Amazon EC2 con AWS CLI
**Para crear el rol de **Amazon EC2 SpotFleetTaggingRole** IAM para sus entornos de cómputo de Spot Fleet**
1. Ejecute el siguiente comando con la AWS CLI.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. **Para adjuntar la política de IAM EC2 SpotFleetTaggingRole gestionada por **Amazon** a tu EC2 SpotFleetTaggingRole rol de Amazon, ejecuta el siguiente comando con.** AWS CLI
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Para crear el rol vinculado a servicio de IAM denominado `AWSServiceRoleForEC2Spot` para el spot de Amazon EC2**
**nota**
Si el rol vinculado al servicio de IAM denominado `AWSServiceRoleForEC2Spot` ya existe, aparecerá un mensaje de error similar al siguiente.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Ejecute el siguiente comando con la AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Para crear el rol vinculado a servicio de IAM denominado `AWSServiceRoleForEC2SpotFleet` para la flota de spot de Amazon EC2**
**nota**
Si el rol vinculado al servicio de IAM denominado `AWSServiceRoleForEC2SpotFleet` ya existe, aparecerá un mensaje de error similar al siguiente.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Ejecute el siguiente comando con la AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge Rol de IAM
Amazon EventBridge ofrece un flujo casi en tiempo real de los eventos del sistema que describen los cambios en los AWS recursos. AWS Batch los trabajos están disponibles como EventBridge objetivos. Mediante reglas sencillas que puede configurar rápidamente, puede asignar eventos y enviar trabajos de AWS Batch como respuesta a ellos. Antes de poder enviar AWS Batch trabajos con EventBridge reglas y objetivos, EventBridge debe tener permisos para ejecutar los AWS Batch trabajos en su nombre.
**nota**
Si crea una regla en la EventBridge consola que especifica una AWS Batch cola como destino, puede crear este rol. Para ver un tutorial de ejemplo, consulte [Trabajos de AWS Batch como destinos de EventBridge](batch-cwe-target.md). Puede crear el EventBridge rol manualmente mediante la consola de IAM. Para obtener instrucciones, consulte [Creación de un rol mediante políticas de confianza personalizadas (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) en la Guía del usuario de IAM.
La relación de confianza para su función de EventBridge IAM debe proporcionar al director del `events.amazonaws.com` servicio la capacidad de asumir la función.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Asegúrese de que la política asociada a su función de EventBridge IAM permita `batch:SubmitJob` conceder permisos a sus recursos. En el siguiente ejemplo, AWS Batch proporciona la política administrada de `AWSBatchServiceEventTargetRole` para conceder estos permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------