**Ayude a mejorar esta página**
Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.
# Uso de roles para conectar un clúster de Kubernetes a Amazon EKS
Amazon EKS utiliza [roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon EKS. Los roles vinculados a servicios se encuentran predefinidos por Amazon EKS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a servicios simplifica la configuración de Amazon EKS porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon EKS define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon EKS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon EKS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a servicios**. Seleccione una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios para Amazon EKS
Amazon MSK usa el rol vinculado al servicio denominado `AWSServiceRoleForAmazonEKSConnector`. El rol permite a Amazon EKS conectar clústeres de Kubernetes. Las políticas adjuntas permiten que el rol administre los recursos necesarios para conectarse al clúster de Kubernetes registrado.
El rol vinculado al servicio `AWSServiceRoleForAmazonEKSConnector` depende de los siguientes servicios para asumir el rol:
+ `eks-connector.amazonaws.com`
La política de permisos del rol permite que Amazon EKS realice las siguientes acciones en los recursos especificados:
+ [AmazonEKSConnectorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSConnectorServiceRolePolicy.html)
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
Este rol usa permisos de SSM (Systems Manager) para establecer conexiones seguras y administrar los clústeres de Kubernetes conectados.
## Crear un rol vinculado a servicios para Amazon EKS
No necesita crear un rol vinculado a servicios de forma manual para conectar un clúster. Cuando conecta un clúster en la Consola de administración de AWS, la AWS CLI, `eksctl` o la API de AWS, Amazon EKS crea el rol vinculado a servicios en su nombre.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al conectar un clúster, Amazon EKS crea de nuevo el rol vinculado a servicios en su nombre.
## Editar un rol vinculado a servicios para Amazon EKS
Amazon EKS no permite editar el rol vinculado a servicios de `AWSServiceRoleForAmazonEKSConnector`. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editing a service-linked role (Editar un rol vinculado a servicios)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a servicios para Amazon EKS
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpiar un rol vinculado a servicios
Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol.
**nota**
Si el servicio de Amazon EKS utiliza el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
1. Abra la [consola de Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. En el panel de navegación izquierdo, elija **Clusters (Clústeres)**.
1. En la página **Clusters (Clústeres)**, seleccione el clúster.
1. Seleccione la pestaña **Deregister (Anular registro)** y, a continuación, la pestaña **OK (Aceptar)**.
### Eliminación manual de un rol vinculado a servicios
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios AWSServiceRoleForAmazonEKSConnector. Para obtener más información, consulte [Eliminación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.