Uso de roles vinculados al servicio para VPC
Amazon VPC utiliza roles vinculados al servicio de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que está vinculado directamente a VPC. Los roles vinculados al servicio están predefinidos por VPC e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado al servicio facilita la configuración de VPC, ya que no es necesario agregar manualmente los permisos necesarios. VPC define los permisos de los roles vinculados al servicio y, salvo que se indique lo contrario, solo VPC puede asumir esos roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege los recursos de la VPC, ya que no puede eliminar de forma involuntaria los permisos para acceder a dichos recursos.
Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte Servicios de AWS que funcionan con IAM y busque aquellos servicios que tengan Sí en la columna Roles vinculados al servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de los roles vinculados al servicio para VPC
VPC utiliza el rol vinculado al servicio denominado AWSServiceRoleForNATGateway. Este rol vinculado al servicio permite que Amazon VPC asigne direcciones IP elásticas en su nombre para escalar automáticamente las puertas de enlace NAT regionales, asociar y desasociar las direcciones IP elásticas existentes a las puertas de enlace NAT regionales cuando lo solicite, y describir interfaces de red para identificar la infraestructura existente y ampliarla automáticamente a nuevas zonas de disponibilidad.
El rol vinculado al servicio AWSServiceRoleForNATGateway confía en los siguientes servicios para asumir el rol:
-
ec2-nat-gateway.amazonaws.com
La política de permisos del rol denominada AWSNATGatewayServiceRolePolicy permite que VPC realice las siguientes acciones sobre los recursos especificados:
-
Acción:
AllocateAddresssobre direcciones IP elásticas administradas por el servicio, para asignar direcciones IP elásticas en su nombre. Las direcciones IP elásticas administradas por el servicio se encargan automáticamente del etiquetado posterior con etiquetas administradas por el servicio y de la acción ReleaseAddress. -
Acción:
AssociateAddresssobre las direcciones IP elásticas existentes previamente, para asociarlas manualmente a la puerta de enlace NAT regional cuando lo solicite. -
Acción:
DisassociateAddresssobre las direcciones IP elásticas existentes previamente, para quitarlas de la puerta de enlace NAT regional cuando lo solicite. -
Acción:
DescribeAddressespara obtener información de direcciones IP públicas a partir de direcciones IP elásticas proporcionadas por el cliente durante la asociación. -
Acción:
DescribeNetworkInterfacesobre las interfaces de red existentes, para identificar automáticamente las zonas de disponibilidad en las que reside la infraestructura y escalar horizontalmente de forma automática a nuevas zonas.
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado al servicio para VPC
No necesita crear manualmente un rol vinculado a servicios. Cuando crea una puerta de enlace NAT con un modo de disponibilidad “regional” en la Consola de administración de AWS, la AWS CLI o la API de AWS, VPC crea el rol vinculado al servicio en su nombre.
importante
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio VPC antes del 1 de enero de 2017, cuando comenzó a admitir roles vinculados al servicio, VPC creó el rol AWSServiceRoleForNATGateway en la cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi Cuenta de AWS.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una puerta de enlace NAT con un modo de disponibilidad “regional”, VPC crea de nuevo el rol vinculado al servicio en su nombre.
También puede usar la consola de IAM para crear un rol vinculado al servicio con el caso de uso AWSServiceRoleForNATGateway. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio ec2-nat-gateway.amazonaws.com. Para obtener más información, consulte Creación de un rol vinculado a un servicio en la Guía del usuario de IAM. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
Edición de un rol vinculado al servicio para VPC
VPC no permite que edite el rol vinculado al servicio AWSServiceRoleForNATGateway. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado al servicio para VPC
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio VPC usa el rol cuando intenta eliminar los recursos, es posible que la eliminación no se complete correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar los recursos de VPC utilizados por AWSServiceRoleForNATGateway
-
Elimine todas las puertas de enlace NAT regionales en todas las regiones en las que estén implementadas.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Use la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForNATGateway. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones compatibles con roles vinculados al servicio para VPC
VPC admite el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de conexión y Regiones de AWS.
VPC no admite el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Puede usar el rol AWSServiceRoleForNATGateway en las siguientes regiones.
| Nombre de la región | Identidad de la región | Compatibilidad en VPC |
|---|---|---|
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí |
| Asia-Pacífico (Taipéi) | ap-east-2 | Sí |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Hyderabad) | ap-south-2 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Asia-Pacífico (Melbourne) | ap-southeast-4 | Sí |
| Asia-Pacífico (Malasia) | ap-southeast-5 | Sí |
| Asia-Pacífico (Nueva Zelanda) | ap-southeast-6 | Sí |
| Asia-Pacífico (Tailandia) | ap-southeast-7 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Oeste de Canadá (Calgary) | ca-west-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Zúrich) | eu-central-2 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| Europa (España) | eu-south-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Israel (Tel Aviv) | il-central-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| Medio Oriente (EAU) | me-central-1 | Sí |
| Medio Oriente (Arabia Saudí) | me-west-1 | Sí |
| México (centro) | mx-central-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | No |
| AWS GovCloud (Oeste de EE. UU.) | us-gov-west-1 | No |
