Uso de roles para la autorización de conexiones en Client VPN;
AWS Client VPN usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Client VPN. Los roles vinculados a servicios están predefinidos por Client VPN e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica la configuración de Client VPN porque ya no tendrá que agregar manualmente los permisos necesarios. Client VPN define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Client VPN puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Client VPN, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Permisos de roles vinculados a servicios en Client VPN
Client VPN utiliza el rol vinculado a servicios denominado AWSServiceRoleForClientVPNConnections: rol vinculado a servicios para conexiones de Client VPN.
El rol AWSServiceRoleForClientVPNConnections vinculado a servicios confía en que los siguientes servicios asuman el rol:
-
clientvpn-connections.amazonaws.com
La política de permisos llamada ClientVPNServiceConnectionsRolePolicy permite a Client VPN realizar las siguientes acciones en los recursos especificados:
-
Acción:
lambda:InvokeFunctionenarn:aws:lambda:*:*:function:AWSClientVPN-*
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de roles vinculados a servicios en Client VPN
No necesita crear manualmente un rol vinculado a servicios. Cuando se crea el primer punto de conexión de Client VPN en la cuenta con la Consola de administración de AWS, la AWS CLI y la API de AWS, Client VPN crea el rol vinculado a servicios para usted.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando se crea el primer punto de conexión de Client VPN en la cuenta, Client VPN crea el rol vinculado a servicios para usted de nuevo.
Edición de roles vinculados a servicios en Client VPN
Client VPN no permite editar el rol AWSServiceRoleForClientVPNConnections vinculado a servicios. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte la Descripción sobre cómo editar un rol vinculado al servicio en la Guía del usuario de IAM.
Eliminación de roles vinculados a servicios en Client VPN
Si ya no tiene que utilizar Client VPN, le recomendamos que elimine el rol vinculado a servicios AWSServiceRoleForClientVPNConnections.
Primero debe eliminar los recursos de Client VPN relacionados. Esto garantiza que no pueda eliminar accidentalmente el permiso para obtener acceso a los recursos.
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar los roles vinculados a servicios. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
