Uso de roles vinculados a servicios para Site-to-Site VPN

AWS Site-to-Site VPN usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a un Site-to-Site VPN. Los roles vinculados a servicios están predefinidos por Site-to-Site VPN e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a servicios simplifica la configuración de Site-to-Site VPN porque ya no tendrá que añadir manualmente los permisos necesarios. Site-to-Site VPN define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Site-to-Site VPN puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Site-to-Site VPN, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Rol vinculado a servicios para Site-to-Site VPN

Site-to-Site VPN utiliza el rol vinculado a servicios denominado AWSServiceRoleForVPCS2SVPN: permite a Site-to-Site VPN crear y gestionar recursos relacionados con las conexiones de su VPN.

El rol vinculado a servicios AWSServiceRoleForVPCS2SVPN depende del siguiente servicio para asumir el rol:

El rol vinculado a servicios utiliza la política administrada AWSVPCS2SVpnServiceRolePolicy para realizar las siguientes acciones en los recursos especificados:

Para ver los permisos de esta política, consulte AWSVPCS2SVpnServiceRolePolicy en la Referencia de la política administrada de AWS.

Creación del rol vinculado a servicios para Site-to-Site VPN

No necesita crear manualmente un rol vinculado a servicios. Al crear una puerta de enlace de cliente con un certificado privado de ACM asociado en la Consola de administración de AWS, la AWS CLI o la API de AWS, Site-to-Site VPN crea el rol vinculado a servicios por usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una puerta de enlace de cliente con un certificado privado de ACM asociado, Site-to-Site VPN crea el rol vinculado a servicios por usted de nuevo.

Edición de un rol vinculado a servicios para Site-to-Site VPN

Site-to-Site VPN no permite editar el rol vinculado a servicios AWSServiceRoleForVPCS2SVPN. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte la Descripción sobre cómo editar un rol vinculado al servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicios para Site-to-Site VPN

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Para eliminar los recursos de Site-to-Site VPN utilizados por el rol AWSServiceRoleForVPCS2SVPN

Este rol vinculado a servicios solo se puede eliminar después de suprimir todas las gateways de cliente que tienen un certificado privado de ACM asociado. De esta manera, evitará eliminar por error el permiso para acceder a los certificados de ACM que se utilizan en las conexiones de Site-to-Site VPN.

Para eliminar manualmente el rol vinculado a un servicio mediante IAM

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios AWSServiceRoleForVPCS2SVPN. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.