View a markdown version of this page

Uso de funciones vinculadas a servicios para AWS Mainframe Modernization - AWS Modernización de la unidad central
Service-linked permisos de rol para AWS Mainframe ModernizationCreación de un rol vinculado a un servicio de AWS Mainframe ModernizationModificación de un rol vinculado a un servicio de AWS Mainframe ModernizationEliminación de un rol vinculado a un servicio de AWS Mainframe ModernizationRegiones compatibles para AWS Mainframe Modernization roles vinculados a servicios

AWS El servicio de modernización de mainframes (experiencia en entornos de ejecución gestionados) ya no está abierto a nuevos clientes. Para obtener prestaciones similares a las del Servicio de modernización de AWS mainframe (experiencia en entornos de ejecución gestionados), explore el Servicio de modernización de AWS mainframe (Self-ManagedExperience). Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte Cambio en la disponibilidad de la modernización de AWS mainframes.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de funciones vinculadas a servicios para AWS Mainframe Modernization

AWS Mainframe Modernization utiliza funciones AWS Identity and Access Management vinculadas al servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Mainframe Modernization Service-linked Los roles están predefinidos AWS Mainframe Modernization e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.

Un rol vinculado a un servicio facilita la configuración AWS Mainframe Modernization , ya que no es necesario añadir manualmente los permisos necesarios. AWS Mainframe Modernization define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Mainframe Modernization puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Mainframe Modernization recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios que funcionan con IAM y busque los servicios que tengan la palabra «Sí» en la columna de funciones. Service-linked Elija una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Service-linked permisos de rol para AWS Mainframe Modernization

AWS Mainframe Modernization usa el rol vinculado al servicio denominado AWSServiceRoleForAWSM2: configure la red para conectarse a su VPC y acceder a recursos como los sistemas de archivos.

El rol AWSServiceRoleForAWSM2 vinculado al servicio confía en los siguientes servicios para asumir el rol:

  • m2.amazonaws.com

La política de permisos de roles denominada AWSM2ServicePolicy permite AWS Mainframe Modernization realizar las siguientes acciones en los recursos especificados:

  • Cree, elimine, describa y adjunte permisos a las interfaces de red de Amazon EC2 para que el AWS Mainframe Modernization entorno establezca la conectividad con la VPC del cliente.

  • Registra o anula el registro de las entradas de Elastic Load Balancing, que es la forma en que los clientes se conectan al AWS Mainframe Modernization entorno.

  • Describir el sistema de archivos de Amazon EFS o Amazon FSx, si se utiliza.

  • Emite métricas al cliente CloudWatch desde el entorno de ejecución.

JSON
{
	"Version":"2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSubnets",
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeNetworkInterfaces",
				"ec2:CreateNetworkInterfacePermission",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticfilesystem:DescribeMountTargets"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"elasticloadbalancing:RegisterTargets",
				"elasticloadbalancing:DeregisterTargets"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"fsx:DescribeFileSystems"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricData"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": [
						"AWS/M2"
					]
				}
			}
		}
	]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte los permisos de los Service-linked roles en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio de AWS Mainframe Modernization

No necesita crear manualmente un rol vinculado a servicios. Al crear un entorno de ejecución en la Consola de administración de AWS, la AWS CLI o la AWS API, AWS Mainframe Modernization crea automáticamente el rol vinculado al servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un entorno de tiempo de ejecución, AWS Mainframe Modernization crea el rol vinculado a servicios para usted de nuevo.

Modificación de un rol vinculado a un servicio de AWS Mainframe Modernization

AWS Mainframe Modernization no permite editar el rol vinculado al AWSServiceRoleForAWSM2 servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de AWS Mainframe Modernization

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el AWS Mainframe Modernization servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación AWS Mainframe Modernization recursos utilizados por el AWSServiceRoleForAWSM2

  • Elimine los entornos de ejecución en AWS Mainframe Modernization. Asegúrese de eliminar las aplicaciones de un entorno antes de eliminar el entorno en sí.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForAWSM2 servicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles para AWS Mainframe Modernization roles vinculados a servicios

AWS Mainframe Modernization admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de enlace y regiones de AWS.