Cómo utilizar roles vinculados a servicios de Directory Service
AWS Directory Service utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Directory Service. Las funciones vinculadas a servicios están predefinidas por Directory Service e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Con una función vinculada a servicios, resulta más sencillo configurar Directory Service, porque no es preciso agregar los permisos necesarios manualmente. Directory Service define los permisos de las funciones vinculadas con su propio servicio y, a menos que esté definido de otra manera, solo Directory Service puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, que no se pueden adjuntar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se evita la pérdida de acceso a los recursos de Directory Service, ya que se evita que se puedan eliminar de manera accidental permisos de acceso a los recursos.
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM.
Temas
Permisos de roles vinculados a servicios de Directory Service
Creación de un rol vinculado a un servicio de Directory Service
Modificación de un rol vinculado a servicios de Directory Service
Eliminación de un rol vinculado a un servicio de Directory Service
Regiones admitidas para los roles vinculados a un servicio de Directory Service
Permisos de roles vinculados a servicios de Directory Service
Directory Service utiliza el rol vinculado al servicio denominada AWSServiceRoleForDirectoryService: permite que AWS monitoree los controladores de dominio autoadministrados del cliente.
El rol vinculado a los servicios AWSServiceRoleForDirectoryService depende de los siguientes servicios para asumir el rol:
-
ds.amazonaws.com
La política de permisos del rol denominada AWSDirectoryServiceServiceRolePolicy permite que Directory Service realice las siguientes acciones en los recursos especificados. Para ver los permisos completos de esta política, consulte AWSDirectoryServiceServiceRolePolicy en la Referencia de la política administrada de AWS.
-
ec2: permite que el servicio describa los recursos de la red, como las VPC, las subredes, los grupos de seguridad y las interfaces de red, para validar las configuraciones de conectividad híbrida:-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm: permite que el servicio envíe y supervise las etiquetas GUI de PowerShell a los controladores de dominio locales con fines de monitoreo y evaluación:-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a un servicio de Directory Service
No necesita crear manualmente un rol vinculado a servicios. Cuando se permite que AWS monitoree los controladores de dominio autoadministrados del cliente en la Consola de administración de AWS, la AWS CLI o la API de AWS, Directory Service crea el rol vinculado al servicio. Para obtener más información acerca de este cambio, consulte Actualizaciones de la política.
importante
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Si utilizaba el servicio Directory Service antes del 1 de enero de 2017, fecha en que comenzó a admitir los roles vinculados a servicios, entonces Directory Service habrá creado el rol AWSServiceRoleForDirectoryService en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi Cuenta de AWS.
Modificación de un rol vinculado a servicios de Directory Service
Directory Service no permite editar el rol vinculado al servicio AWSServiceRoleForDirectoryService. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a un servicio de Directory Service
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio Directory Service está utilizando el rol en el momento en que se intentan eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
Eliminación de los recursos de Directory Service utilizados por AWSServiceRoleForDirectoryService
-
Para eliminar su directorio, consulte Eliminación del AWS Managed Microsoft AD.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForDirectoryService. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados a un servicio de Directory Service
Directory Service no permite el uso de los roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Sin embargo, Directory Service utiliza el rol AWSServiceRoleForDirectoryService solo en las Regiones de AWS donde se puede optar por utilizar directorios híbridos.
| Nombre de la región | Identidad de la región | Compatibilidad con registros |
|---|---|---|
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| Asia-Pacífico (Bombay) | ap-south-1 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Medio Oriente (EAU) | me-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí |
| Asia-Pacífico (Hyderabad) | ap-south-2 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia Pacífico (Osaka) | ap-northeast-3 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Asia-Pacífico (Melbourne) | ap-southeast-4 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (España) | eu-south-2 | Sí |
| Europa (Zúrich) | eu-central-2 | Sí |
