Permisos de roles vinculados a servicios Creación de un rol vinculado a servicios (IAM)Edición de la descripción de un rol vinculado a servicio Eliminación de un rol vinculado a un servicio para Amazon Timestream para InfluxDB Regiones admitidas para los roles vinculados a un servicio de Amazon Timestream para InfluxDB

Cómo utilizar roles vinculados a un servicio de Amazon Timestream para InfluxDB

Amazon Timestream para InfluxDB AWS Identity and Access Management utiliza funciones vinculadas a servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a un AWS servicio, como Amazon Timestream para InfluxDB. Amazon Timestream para InfluxDB predefine sus roles vinculados a un servicio. Incluyen todos los permisos que requiere el servicio para llamar a otros servicios de AWS en nombre de las instancias de base de datos.

Un rol vinculado a un servicio simplifica la configuración de Amazon Timestream para InfluxDB, porque ya no tendrá que agregar manualmente los permisos requeridos. Los roles ya existen en su AWS cuenta, pero están vinculados a los casos de uso de Amazon Timestream for InfluxDB y tienen permisos predefinidos. Solo Amazon Timestream para InfluxDB puede asumir estos roles y solo estos roles pueden utilizar la política de permisos predefinida. Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma se protegen los recursos de Amazon Timestream para InfluxDB, ya que evita que se puedan eliminar accidentalmente permisos necesarios para obtener acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado al servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Contenido

Permisos de roles vinculados a un servicio de Amazon Timestream para InfluxDB

Amazon Timestream para InfluxDB usa el rol vinculado al servicio AmazonTimestreamInfluxDBServiceRolePolicydenominado: Esta política permite a Timestream for InfluxDB administrar los recursos en su nombre según sea necesario para administrar sus clústeres. AWS

La política de permisos de roles AmazonTimestreamInflux DBService RolePolicy vinculados al servicio permite a Amazon Timestream for InfluxDB realizar las siguientes acciones en los recursos especificados:

JSON


{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "DescribeNetworkStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfaces"
			],
			"Resource": "*"
		},
		{
			"Sid": "CreateEniInSubnetStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			]
		},
		{
			"Sid": "CreateEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "CreateTagWithEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				},
				"StringEquals": {
					"ec2:CreateAction": [
						"CreateNetworkInterface"
					]
				}
			}
		},
		{
			"Sid": "ManageEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "PutCloudWatchMetricsStatement",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricData"
			],
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": [
						"AWS/Timestream/InfluxDB",
						"AWS/Usage"
					]
				}
			},
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "ManageSecretStatement",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret",
				"secretsmanager:DeleteSecret"
			],
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:READONLY-InfluxDB-auth-parameters-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Para permitir que una entidad de IAM cree roles vinculados a un servicio AmazonTimestreamInflux DBService RolePolicy

Agregue la siguiente instrucción de política a los permisos para esa entidad de IAM:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

Para permitir que una entidad de IAM elimine funciones vinculadas al servicio AmazonTimestreamInflux DBService RolePolicy

Agregue la siguiente instrucción de política a los permisos para esa entidad de IAM:


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

Como alternativa, puede utilizar una política AWS gestionada para proporcionar acceso completo a Amazon Timestream for InfluxDB.

Creación de un rol vinculado a servicios (IAM)

No necesita crear manualmente un rol vinculado a servicios. Cuando crea una instancia de base de datos, Amazon Timestream para InfluxDB crea por usted el rol vinculado a un servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una instancia de base de datos, Amazon Timestream para InfluxDB vuelve a crear por usted el rol vinculado a un servicio.

Edición de la descripción de un rol vinculado a un servicio para Amazon Timestream para InfluxDB

Amazon Timestream para InfluxDB no le permite editar el rol vinculado al servicio. AmazonTimestreamInflux DBService RolePolicy Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM.

Edición de la descripción de un rol vinculado a servicios (consola de IAM)

Puede utilizar la consola de IAM para editar una descripción de rol vinculado a servicios.

Para editar la descripción de un rol vinculado a un servicio (consola)

En el panel de navegación izquierdo de la consola de IAM, elija Roles.
Seleccione el nombre del rol que desea modificar.
En el extremo derecho de Role description, seleccione Edit.
Ingrese una descripción nueva en el cuadro Save (Guardar).

Edición de la descripción de un rol vinculado a servicios (CLI de IAM)

Puede utilizar las operaciones de IAM desde el para editar la descripción de un rol vinculado a un servicio AWS Command Line Interface .

Para cambiar la descripción de un rol vinculado a un servicio (CLI)

(Opcional) Para ver la descripción actual de un rol, utilice la operación AWS CLI for IAM. get-role
ejemplo
```
$ aws iam get-role --role-name AmazonTimestreamInfluxDBServiceRolePolicy
```
Utilice el nombre del rol, no el ARN, para hacer referencia a los roles con las operaciones de la CLI. Por ejemplo, si una función tiene el ARN arn:aws:iam::123456789012:role/myrole, debe referirse a él como myrole.

Para actualizar la descripción de un rol vinculado a un servicio, utilice la operación AWS CLI for IAM. update-role-description

Linux y MacOS


$ aws iam update-role-description \
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy \
    --description "new description"

Windows


$ aws iam update-role-description ^
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy ^
    --description "new description"

Edición de la descripción de un rol vinculado a servicios (API de IAM)

Puede utilizar la API de IAM para editar una descripción de rol vinculado a servicios.

Para cambiar la descripción de un rol vinculado a un servicio (API)

(Opcional) Para ver la descripción actual de un rol, utilice la operación de la API de IAM GetRole.

ejemplo


https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &AUTHPARAMS

Para actualizar la descripción de un rol, utilice la operación de la API de IAM UpdateRoleDescription.

ejemplo


https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &Description="New description"

Eliminación de un rol vinculado a un servicio para Amazon Timestream para InfluxDB

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado al servicio antes de eliminarlo.

Amazon Timestream para InfluxDB no elimina de forma automática un rol vinculado a un servicio.

Limpiar un rol vinculado a un servicio

Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero confirme que el rol no tiene recursos (clústeres) asociados a él.

Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM

Inicie sesión en la consola de Consola de administración de AWS IAM y ábrala en. https://console.aws.amazon.com/iam/
En el panel de navegación izquierdo de la consola de IAM, elija Roles. A continuación, elija el nombre (no la casilla de verificación) del AmazonTimestreamInflux DBService RolePolicy rol.
En la página Resumen del rol seleccionado, seleccione la pestaña Asesor de acceso.
En la pestaña Asesor de acceso, revise la actividad reciente del rol vinculado a servicios.

Eliminación de un rol vinculado a servicios (consola de IAM)

Puede utilizar la consola de IAM para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (consola)

Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en https://console.aws.amazon.com/iam/.
En el panel de navegación izquierdo de la consola de IAM, elija Roles. A continuación, seleccione la casilla junto al nombre del rol que desea eliminar, no el nombre ni la fila.
En Role actions (Acciones de rol) en la parte superior de la página, elija Delete role (Eliminar rol).
En la página de confirmación, revise los datos del servicio al que se accedió por última vez, que muestran cuándo accedió por última vez a un AWS servicio cada uno de los roles seleccionados. Esto lo ayuda a confirmar si el rol está actualmente activo. Si desea continuar, seleccione Yes, Delete para enviar la solicitud de eliminación del rol vinculado al servicio.
Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Como el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, dicha tarea puede realizarse correctamente o fallar después de que envía la solicitud de eliminación. Si la tarea no se realiza correctamente, puede seleccionar View details (Ver detalles) o View Resources (Ver recursos) desde las notificaciones para obtener información sobre el motivo por el que no se pudo eliminar el rol.

Eliminación de un rol vinculado a servicios (CLI de IAM)

Puede utilizar las operaciones de IAM desde allí AWS Command Line Interface para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (CLI)

Si no conoce el nombre del rol vinculado a servicios que desea eliminar, ingrese el siguiente comando. Este comando muestra las funciones y sus nombres de recursos de Amazon (ARNs) en su cuenta.
```
$ aws iam get-role --role-name role-name
```
Utilice el nombre del rol, no el ARN, para hacer referencia a los roles con las operaciones de la CLI. Por ejemplo, si un rol tiene el ARN arn:aws:iam::123456789012:role/myrole, debe referirse a él como myrole.
Dado que un rol vinculado a un servicio no se puede eliminar si se está utilizando o tiene recursos asociados, debe enviar una solicitud de eliminación con el delete-service-linked-rolecomando. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor deletion-task-id de la respuesta para comprobar el estado de la tarea de eliminación. Ingrese lo siguiente para enviar una solicitud de eliminación de un rol vinculado a servicios.
```
$ aws iam delete-service-linked-role --role-name role-name
```
Ejecute el comando get-service-linked-role-deletion-status para comprobar el estado de la tarea de eliminación.
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.

Eliminación de un rol vinculado a servicios (API de IAM)

Puede utilizar la API de IAM para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (API)

Para enviar una solicitud de eliminación de un rol vinculado a un servicio, llame a DeleteServiceLinkedRole. En la solicitud, especifique el nombre del rol.

Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor DeletionTaskId de la respuesta para comprobar el estado de la tarea de eliminación.
Para comprobar el estado de la tarea de eliminación, realice una llamada a GetServiceLinkedRoleDeletionStatus. En la solicitud, especifique el valor de DeletionTaskId.

El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.

Regiones admitidas para los roles vinculados a un servicio de Amazon Timestream para InfluxDB

Amazon Timestream para InfluxDB admite el uso de roles vinculados a un servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte puntos de conexión de servicio de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Control del acceso a una instancia de base de datos situada en una VPC

AWS políticas administradas