Permisos de rol vinculados al servicio para la VPN Site-to-Site Cree un rol vinculado a un servicio para la VPN Site-to-Site Edita un rol vinculado a un servicio para la VPN Site-to-Site Elimine un rol vinculado a un servicio para la VPN Site-to-Site

Uso de funciones vinculadas a servicios para la VPN Site-to-Site

AWS Site-to-Site La VPN usa roles AWS Identity and Access Management vinculados al servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a la VPN. Site-to-Site La Site-to-Site VPN predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Un rol vinculado a un servicio facilita la configuración de la Site-to-Site VPN, ya que no es necesario añadir manualmente los permisos necesarios. Site-to-Site La VPN define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo la Site-to-Site VPN puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus recursos de Site-to-Site VPN porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Permisos de rol vinculados al servicio para la VPN Site-to-Site

Site-to-Site La VPN usa la función vinculada al servicio denominada AWSServiceRoleForVPCS2SVPN: permite que la Site-to-Site VPN cree y administre los recursos relacionados con sus conexiones de VPN.

El rol vinculado al servicio de AWSService RoleFor VPCS2 SVPN confía en que el siguiente servicio asuma el rol:

s2svpn.amazonaws.com

Este rol vinculado al servicio usa la política administrada AWSVPCS2 SVpn ServiceRolePolicy para completar las siguientes acciones en los recursos especificados:

Al utilizar la autenticación mediante certificados para su conexión VPN, AWS Site-to-Site VPN exporta los AWS Certificate Manager certificados del túnel VPN para usarlos en los puntos finales del túnel VPN.
Al utilizar la autenticación mediante certificados para su conexión VPN, AWS Site-to-Site VPN gestiona la renovación de los AWS Certificate Manager certificados del túnel VPN.
Al utilizar el almacenamiento de claves SecretsManager previamente compartidas para su conexión VPN, AWS Site-to-Site VPN administra el secreto gestionado AWS Secrets Manager s2svpn de la conexión VPN.

Para ver los permisos de esta política, consulte AWSVPCS2SVpnServiceRolePolicy en la Referencia de la política administrada de AWS .

Cree un rol vinculado a un servicio para la VPN Site-to-Site

No necesita crear manualmente un rol vinculado a servicios. Al crear una pasarela de cliente con un certificado privado de ACM asociado en la AWS Management Console, la o la AWS API AWS CLI, la Site-to-Site VPN crea automáticamente la función vinculada al servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una pasarela de clientes con un certificado privado de ACM asociado, la Site-to-Site VPN vuelve a crear la función vinculada al servicio para usted.

Edita un rol vinculado a un servicio para la VPN Site-to-Site

Site-to-Site La VPN no le permite editar el rol vinculado al servicio de AWSService RoleFor VPCS2 SVPN. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte la Descripción sobre cómo editar un rol vinculado al servicio en la Guía del usuario de IAM.

Elimine un rol vinculado a un servicio para la VPN Site-to-Site

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de Site-to-Site VPN utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de Site-to-Site VPN utilizados por la AWSService RoleFor VPCS2 SVPN

Este rol vinculado a servicios solo se puede eliminar después de suprimir todas las gateways de cliente que tienen un certificado privado de ACM asociado. Esto garantiza que no pueda eliminar inadvertidamente el permiso de acceso a los certificados ACM que utilizan las conexiones VPN. Site-to-Site

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio de SVPN. AWSService RoleFor VPCS2 Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS políticas gestionadas

Resiliencia