Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Utilice funciones vinculadas a servicios para Amazon Lightsail
<a name="amazon-lightsail-using-service-linked-roles"></a>

[Amazon Lightsail AWS Identity and Access Management utiliza funciones vinculadas a servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon Lightsail. Service-linked Amazon Lightsail predefine los roles e incluyen todos los permisos que Lightsail necesita para llamar a otros servicios en su nombre. AWS 

Un rol vinculado a un servicio facilita la configuración de Amazon Lightsail, ya que no es necesario añadir manualmente los permisos necesarios. Amazon Lightsail define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo Amazon Lightsail puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, que no se pueden adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus recursos de Amazon Lightsail porque no puedes retirar inadvertidamente el permiso de acceso a los recursos.

**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que tengan la palabra **Sí** en la Service-Linked columna Rol.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Service-Linked Permisos de rol para Amazon Lightsail
<a name="slr-permissions"></a>

Amazon Lightsail utiliza la función **AWSServiceRoleForLightsail**vinculada al servicio denominada Role para exportar instantáneas de discos de almacenamiento de bloques e instancias de Lightsail a Amazon Elastic Compute Cloud (Amazon EC2) Compute Cloud (Amazon EC2) y para obtener la configuración actual de acceso público en bloque a nivel de cuenta desde Amazon Simple Storage Service (Amazon S3) (Simple Storage Service (Amazon S3) (Simple Storage Service (Amazon S3) (Simple Storage Service) (Amazon S3).

El rol vinculado al AWSServiceRoleForLightsail servicio confía en los siguientes servicios para asumir el rol:
+ `lightsail.amazonaws.com`

La política de permisos de roles permite a Amazon Lightsail realizar las siguientes acciones en los recursos especificados:
+ Acción: `ec2:CopySnapshot` en todos AWS los recursos.
+ Acción: `ec2:DescribeSnapshots` sobre todos los AWS recursos.
+ Acción: `ec2:CopyImage` sobre todos los AWS recursos.
+ Acción: `ec2:DescribeImages` sobre todos los AWS recursos.
+ Acción: `cloudformation:DescribeStacks` en todos los CloudFormation stacks de AWS.
+ Acción: `s3:GetAccountPublicAccessBlock` en todos los AWS recursos.

### Service-Linked Permisos de rol
<a name="service-linked-role-permissions"></a>

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear o editar la descripción de un rol vinculado a un servicio.

**Para permitir a una entidad de IAM que cree un rol vinculado a un servicio específico**

Agregue la siguiente política a la entidad de IAM que necesite crear el rol vinculado con un servicio.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
        }
    ]
}
```

------

**Para permitir a una entidad de IAM crear un rol vinculado a cualquier servicio**

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite crear un rol vinculado con un servicio o cualquier función de servicio que incluya las políticas necesarias. Esta política asocia una política al rol.

```
{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```

**Para permitir a una entidad IAM editar la descripción de cualquier función de servicio de servicio**

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite editar la descripción de un rol vinculado con un servicio o cualquier función de servicio.

```
{
    "Effect": "Allow",
    "Action": "iam:UpdateRoleDescription",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```

**Para permitir a una entidad de IAM eliminar un rol vinculado a un servicio específico**

agregue la siguiente instrucción a la política de permisos de la entidad de IAM entidad que necesita eliminar el rol vinculado con el servicio.

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
```

**Cómo permitir a una entidad de IAM eliminar cualquier rol de servicio**

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que tiene que eliminar un rol vinculado a un servicio o cualquier rol de servicio.

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```

Como alternativa, puede usar una política AWS administrada para proporcionar acceso total al servicio.

## Creación de un Service-Linked rol para Amazon Lightsail
<a name="create-slr"></a>

No necesita crear manualmente un rol vinculado a servicios. Al exportar su instancia de Lightsail o la instantánea del disco de almacenamiento en bloque a Amazon EC2, o al crear o actualizar un bucket de Lightsail en la, la o AWS Consola de administración de AWS la API AWS , Amazon Lightsail crea el AWS CLI rol vinculado al servicio automáticamente. 

Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al exportar la instancia de Lightsail o la instantánea del disco de almacenamiento en bloque a Amazon EC2, o al crear o actualizar un bucket de Lightsail, Amazon Lightsail vuelve a crear el rol vinculado al servicio para usted. 

**importante**  
Debe configurar los permisos de IAM para permitir que Amazon Lightsail cree el rol vinculado al servicio. [Para ello, complete los pasos de la sección anterior sobre permisos de rol. Service-Linked ](#service-linked-role-permissions)

## Edición de un Service-Linked rol para Amazon Lightsail
<a name="edit-slr"></a>

Amazon Lightsail no le permite editar AWSServiceRoleForLightsail el rol vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. *Para obtener más información, consulte [Edición de un Service-Linked rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la Guía del usuario de IAM.*

## Eliminar un Service-Linked rol para Amazon Lightsail
<a name="delete-slr"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe confirmar que no hay ninguna instancia de Amazon Lightsail ni ninguna instantánea de disco en estado de copia pendiente antes de poder eliminar la función vinculada al servicio. AWSServiceRoleForLightsail Para obtener más información, consulte [Exportación de instantáneas a Amazon EC2](amazon-lightsail-exporting-snapshots-to-amazon-ec2.md).

**Para eliminar manualmente el rol vinculado a servicios mediante IAM**

Utilice la consola de IAM, la o la AWS API para AWS CLI eliminar la función vinculada al servicio. AWSServiceRoleForLightsail Para obtener más información, consulte [Eliminar un Service-Linked rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la Guía del usuario de *IAM*.

## Regiones compatibles con los roles de Amazon Lightsail Service-Linked
<a name="slr-regions"></a>

Amazon Lightsail admite el uso de funciones vinculadas a un servicio en todas las regiones en las que el servicio esté disponible. Para obtener más información sobre las regiones en las que Lightsail está disponible, consulte Regiones de Amazon [Lightsail](https://docs.aws.amazon.com/general/latest/gr/rande.html#lightsail_region).