Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de roles vinculados a servicios para IAM Identity Center
AWS IAM Identity Center utiliza funciones AWS Identity and Access Management vinculadas al [servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a IAM Identity Center. Está predefinido por el Centro de Identidad de IAM e incluye todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. Para obtener más información, consulte [Entender los roles vinculados a servicios en IAM Identity Center](slrconcept.md).
Un rol vinculado a servicios simplifica la configuración de IAM Identity Center porque ya no tendrá que agregar manualmente los permisos necesarios. IAM Identity Center define los permisos de su rol vinculado a servicios y, a menos que esté definido de otra manera, solo IAM Identity Center puede asumir su rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Yes **(Sí) en la columna **Service Linked Role** (Rol vinculado a servicios). Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios para IAM Identity Center
El Centro de identidad de IAM utiliza la función vinculada al servicio denominada **AWSServiceRoleForSSO** para conceder permisos al Centro de identidad de IAM para gestionar los AWS recursos, incluidas las funciones de IAM, las políticas y el IdP de SAML en su nombre.
La función de AWSService RoleFor SSO vinculada al servicio confía en los siguientes servicios para que la asuman:
+ IAM Identity Center (prefijo de servicio: `sso`)
La política de permisos de los roles AWSSSOService RolePolicy vinculados a un servicio permite al Centro de Identidad de IAM completar lo siguiente en los roles de la ruta «/aws-reserved/sso.amazonaws.com/» y con el prefijo de nombre «SSO\$1»: AWSReserved
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DeleteRolePermissionsBoundary`
+ `iam:DeleteRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:GetRole`
+ `iam:ListRolePolicies`
+ `iam:PutRolePolicy`
+ `iam:PutRolePermissionsBoundary`
+ `iam:ListAttachedRolePolicies`
La política de permisos de funciones AWSSSOService RolePolicy vinculadas al servicio permite a IAM Identity Center completar lo siguiente en los proveedores de SAML con el prefijo «\$1»: AWSSSO
+ `iam:CreateSAMLProvider`
+ `iam:GetSAMLProvider`
+ `iam:UpdateSAMLProvider`
+ `iam:DeleteSAMLProvider`
La política de permisos de roles AWSSSOService RolePolicy vinculados al servicio permite al Centro de Identidad de IAM completar lo siguiente en todas las organizaciones:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
La política de permisos de funciones AWSSSOService RolePolicy vinculadas al servicio permite a IAM Identity Center realizar las siguientes tareas en todas las funciones de IAM (\$1):
+ `iam:listRoles`
La política de permisos de roles AWSSSOService RolePolicy vinculados al servicio permite al Centro de Identidad de IAM completar lo siguiente en «arn:aws:iam: :\$1:»: role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO
+ `iam:GetServiceLinkedRoleDeletionStatus`
+ `iam:DeleteServiceLinkedRole`
La política de permisos de roles AWSSSOService RolePolicy vinculados al servicio permite al Centro de Identidad de IAM completar lo siguiente en «arn:aws:identity-sync: \$1:\$1:profile/\$1»:
+ `identity-sync:DeleteSyncProfile`
Para obtener más información [IAM Identity Center actualiza las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) sobre AWSSSOService RolePolicy las actualizaciones de la política de permisos de roles vinculados al servicio, consulte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"IAMRoleProvisioningActions",
"Effect":"Allow",
"Action":[
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRolePermissionsBoundary",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription",
"iam:UpdateAssumeRolePolicy"
],
"Resource":[
"arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
],
"Condition":{
"StringNotEquals":{
"aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}"
}
}
},
{
"Sid":"IAMRoleReadActions",
"Effect":"Allow",
"Action":[
"iam:GetRole",
"iam:ListRoles"
],
"Resource":[
"*"
]
},
{
"Sid":"IAMRoleCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:ListRolePolicies",
"iam:ListAttachedRolePolicies"
],
"Resource":[
"arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
]
},
{
"Sid":"IAMSLRCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus",
"iam:DeleteRole",
"iam:GetRole"
],
"Resource":[
"arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO"
]
},
{
"Sid": "IAMSAMLProviderCreationAction",
"Effect": "Allow",
"Action": [
"iam:CreateSAMLProvider"
],
"Resource": [
"arn:aws:iam::*:saml-provider/AWSSSO_*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMSAMLProviderUpdateAction",
"Effect": "Allow",
"Action": [
"iam:UpdateSAMLProvider"
],
"Resource": [
"arn:aws:iam::*:saml-provider/AWSSSO_*"
]
},
{
"Sid":"IAMSAMLProviderCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteSAMLProvider",
"iam:GetSAMLProvider"
],
"Resource":[
"arn:aws:iam::*:saml-provider/AWSSSO_*"
]
},
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowUnauthAppForDirectory",
"Effect":"Allow",
"Action":[
"ds:UnauthorizeApplication"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDescribeForDirectory",
"Effect":"Allow",
"Action":[
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDescribeAndListOperationsOnIdentitySource",
"Effect":"Allow",
"Action":[
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroups",
"identitystore:ListUsers"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDeleteSyncProfile",
"Effect":"Allow",
"Action":[
"identity-sync:DeleteSyncProfile"
],
"Resource":[
"arn:aws:identity-sync:*:*:profile/*"
]
}
]
}
```
------
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado a servicios para IAM Identity Center
No necesita crear manualmente un rol vinculado a un servicio. Una vez activado, IAM Identity Center crea un rol vinculado al servicio en todas las cuentas de la organización en Organizations. AWS IAM Identity Center también crea el mismo rol vinculado a servicios en todas las cuentas que se añaden posteriormente a su organización. Este rol permite a IAM Identity Center acceder a los recursos de cada cuenta en su nombre.
**Notas**
Si ha iniciado sesión en la cuenta de AWS Organizations administración, esta utilizará su función con la que ha iniciado sesión actualmente y no la función vinculada al servicio. De este modo se evita la escalada de privilegios.
Cuando el IAM Identity Center realiza cualquier operación de IAM en la cuenta de AWS Organizations administración, todas las operaciones se realizan con las credenciales del director de IAM. Esto permite que los inicios de sesión CloudTrail proporcionen visibilidad de quién realizó todos los cambios de privilegios en la cuenta de administración.
**importante**
Si utilizaba el servicio IAM Identity Center antes del 7 de diciembre de 2017, cuando comenzó a admitir funciones vinculadas al servicio, IAM Identity Center creó la función de inicio de sesión único en su AWSService RoleFor cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede seguir el mismo proceso para volver a crear el rol en su cuenta.
## Edición de un rol vinculado a servicios para IAM Identity Center
El Centro de Identidad de IAM no le permite editar la función de SSO vinculada al servicio. AWSService RoleFor Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a servicios para IAM Identity Center
No es necesario eliminar manualmente la función de SSO. AWSService RoleFor Cuando Cuenta de AWS se elimina un elemento de una AWS organización, el Centro de Identidad de IAM limpia automáticamente los recursos y elimina el rol vinculado al servicio. Cuenta de AWS
También puede utilizar la consola de IAM, la CLI de IAM o la API de IAM para eliminar manualmente el rol vinculado a servicios. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
**nota**
Si el servicio IAM Identity Center está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos del Centro de Identidad de IAM utilizados por el SSO AWSService RoleFor**
1. [Elimina el acceso de usuarios y grupos a un Cuenta de AWS](howtoremoveaccess.md) para todos los usuarios y grupos que tengan acceso a la Cuenta de AWS.
1. [Eliminación de conjuntos de permisos de IAM Identity Center](howtoremovepermissionset.md) que ha asociado con la Cuenta de AWS.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar la función vinculada al servicio de AWSService RoleFor SSO. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.