Uso de roles vinculados a servicios para Firewall Manager - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Administración de permisos de roles vinculados a Firewall ManagerCreación de un rol vinculado a un servicio para Firewall ManagerEdición de un rol vinculado a un servicio para Firewall ManagerEliminación de un rol vinculado a un servicio para Firewall ManagerRegiones admitidas para los roles vinculados a servicios de Firewall Manager

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Uso de roles vinculados a servicios para Firewall Manager

AWS Firewall Manager usa roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Firewall Manager. Los roles vinculados a servicios se encuentran predefinidos por Firewall Manager e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado al servicio simplifica la configuración de Firewall Manager porque ya no tendrá que agregar manualmente los permisos requeridos. Firewall Manager define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Firewall Manager puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol. De esta forma, se protegen los recursos de Firewall Manager, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado a un servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Administración de permisos de roles vinculados a Firewall Manager

AWS Firewall Manager usa el nombre de rol vinculado al servicio AWSServiceRoleForFMS para permitir que Firewall Manager llame a los servicios AWS en su nombre para administrar las políticas de firewall y los recursos de la cuenta de AWS Organizations. La política administrada de AWS está asociada al rol administrado de AWSServiceRoleForFMS. Para obtener más información sobre el rol administrado, consulte AWS Política administrada por: FMSServiceRolePolicy.

El rol vinculado al servicio AWSServiceRoleForFMS confía en que el servicio asuma el rol fms.amazonaws.com.

La política de permisos del rol permite que Firewall Manager realice las siguientes acciones en los recursos especificados:

  • waf: administre las ACL web de AWS WAF Classic, los permisos de los grupos de reglas y las asociaciones de las ACL web en su cuenta.

  • ec2: administre grupos de seguridad en interfaces de red elásticas e instancias de Amazon EC2. Gestione las ACL de red en las subredes de Amazon VPC.

  • vpc: administre subredes, tablas de enrutamiento, etiquetas y puntos de enlace en Amazon VPC.

  • wafv2: administre las ACL web de AWS WAF, los permisos de los grupos de reglas y las asociaciones de las ACL web en su cuenta.

  • cloudfront: cree ACL web para proteger las distribuciones de CloudFront.

  • config: administre las reglas propiedad de Firewall Manager de AWS Config en su cuenta.

  • iam: gestione esta función vinculada al servicio y cree las funciones obligatorias de AWS WAF y las vinculadas al servicio Shield si configura el registro para AWS WAF y las políticas de Shield.

  • organization: cree un rol vinculado a un servicio propiedad de Firewall Manager para administrar los recursos de AWS Organizations utilizados por Firewall Manager.

  • shield: gestione las protecciones de AWS Shield y las configuraciones de mitigación de nivel 7 para los recursos de su cuenta.

  • ram: gestione el uso compartido de recursos de AWS RAM para los grupos de reglas de DNS Firewall y los grupos de reglas de Network Firewall.

  • network-firewall: administre los recursos propiedad de Firewall Manager de AWS Network Firewall y los recursos de Amazon VPC dependientes en su cuenta.

  • route53resolver: administre las asociaciones de firewall DNS propiedad de Firewall Manager en su cuenta.

Consulte la política completa en la consola de IAM: FMSServiceRolePolicy.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para Firewall Manager

No necesita crear manualmente un rol vinculado a servicios. Al habilitar los registros de Firewall Manager en la Consola de administración de AWS o realizar una solicitud de PutLoggingConfiguration en la CLI de Firewall Manager o la API de Firewall Manager, Firewall Manager crea el rol vinculado al servicio de forma automática.

Debe tener el permiso iam:CreateServiceLinkedRole para habilitar el registro.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar los registros de Firewall Manager, Firewall Manager se encarga de volver crear automáticamente el rol vinculado al servicio.

Edición de un rol vinculado a un servicio para Firewall Manager

Firewall Manager no permite editar el rol AWSServiceRoleForCertificateManager vinculado a servicios. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Firewall Manager

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de Firewall Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación del rol vinculado a servicios con IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado al servicio AWSServiceRoleForFMS. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a servicios de Firewall Manager

Firewall Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de conexión y cuotas de Firewall Manager.