Uso de roles para AWS Client VPN - AWS Client VPN
Permisos de roles vinculados a servicios en Client VPNCreación de roles vinculados a servicios en Client VPNEdición de roles vinculados a servicios en Client VPNEliminación de roles vinculados a servicios en Client VPN

Uso de roles para AWS Client VPN

AWS Client VPN usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Client VPN. Los roles vinculados a servicios están predefinidos por Client VPN e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de Client VPN porque ya no tendrá que agregar manualmente los permisos necesarios. Client VPN define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Client VPN puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Client VPN, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Permisos de roles vinculados a servicios en Client VPN

Client VPN utiliza el rol vinculado a servicios denominado AWSServiceRoleForClientVPN: permite a Client VPN crear y gestionar recursos relacionados con las conexiones de Client VPN.

El rol vinculado al servicio AWSServiceRoleForClientVPN confía en el siguiente servicio para que asuma el rol:

  • clientvpn.amazonaws.com

Este rol vinculado al servicio utiliza la política administrada ClientVPNServiceRolePolicy. Para ver los permisos de esta política, consulte ClientVPNServiceRolePolicy en la Referencia de políticas administrada de AWS.

Creación de roles vinculados a servicios en Client VPN

No necesita crear manualmente un rol vinculado a servicios. Cuando se crea el primer punto de conexión de Client VPN en la cuenta con la Consola de administración de AWS, la AWS CLI y la API de AWS, Client VPN crea el rol vinculado a servicios para usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando se crea el primer punto de conexión de Client VPN en la cuenta, Client VPN crea el rol vinculado a servicios para usted de nuevo.

Edición de roles vinculados a servicios en Client VPN

Client VPN no permite editar el rol AWSServiceRoleForClientVPN vinculado a servicios. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte la Descripción sobre cómo editar un rol vinculado al servicio en la Guía del usuario de IAM.

Eliminación de roles vinculados a servicios en Client VPN

Si ya no tiene que utilizar Client VPN, le recomendamos que elimine el rol vinculado a servicios AWSServiceRoleForClientVPN.

Primero debe eliminar los recursos de Client VPN relacionados. Esto garantiza que no pueda eliminar accidentalmente el permiso para obtener acceso a los recursos.

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar los roles vinculados a servicios. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.