Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de funciones vinculadas a servicios para Amazon Secure Browser WorkSpaces
<a name="using-service-linked-roles"></a>

Amazon WorkSpaces Secure Browser utiliza AWS Identity and Access Management funciones vinculadas a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Secure Browser. WorkSpaces Los roles vinculados al servicio están predefinidos por WorkSpaces Secure Browser e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

Un rol vinculado a un servicio facilita la configuración de WorkSpaces Secure Browser, ya que no es necesario añadir manualmente los permisos necesarios. WorkSpaces Secure Browser define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo WorkSpaces Secure Browser puede asumir sus funciones. Los permisos definidos incluyen políticas de confianza y políticas de permisos. La política de permisos no se puede adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto protege los recursos de WorkSpaces Secure Browser porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

**Topics**
+ [Permisos de rol vinculados al servicio para Secure Browser WorkSpaces](slr-permissions.md)
+ [Crear un rol vinculado a un servicio para WorkSpaces Secure Browser](create-slr.md)
+ [Edición de un rol vinculado a un servicio para Secure Browser WorkSpaces](edit-slr.md)
+ [Eliminar un rol vinculado a un servicio para Secure Browser WorkSpaces](delete-slr.md)
+ [Regiones compatibles con las funciones vinculadas al servicio de WorkSpaces Secure Browser](slr-regions.md)

# Permisos de rol vinculados al servicio para Secure Browser WorkSpaces
<a name="slr-permissions"></a>

WorkSpaces Secure Browser usa el rol vinculado al servicio denominado`AWSServiceRoleForAmazonWorkSpacesWeb`: WorkSpaces Secure Browser usa este rol vinculado al servicio para acceder a los recursos de Amazon EC2 de las cuentas de los clientes para transmitir instancias y métricas. CloudWatch 

El rol vinculado al servicio `AWSServiceRoleForAmazonWorkSpacesWeb` depende de los siguientes servicios para asumir el rol:
+ `workspaces-web.amazonaws.com`

La política de permisos de roles denominada `AmazonWorkSpacesWebServiceRolePolicy` permite a WorkSpaces Secure Browser realizar las siguientes acciones en los recursos especificados. Para obtener más información, consulte [AWS política gestionada: AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md).
+ Acción: `ec2:DescribeVpcs` en `all AWS resources`
+ Acción: `ec2:DescribeSubnets` en `all AWS resources`
+ Acción: `ec2:DescribeAvailabilityZones` en `all AWS resources`
+ Acción: `ec2:CreateNetworkInterface` con `aws:RequestTag/WorkSpacesWebManaged: true` en recursos de subred y grupo de seguridad
+ Acción: `ec2:DescribeNetworkInterfaces` en `all AWS resources`
+ Acción: `ec2:DeleteNetworkInterface` en las interfaces de red con `aws:ResourceTag/WorkSpacesWebManaged: true`
+ Acción: `ec2:DescribeSubnets` en `all AWS resources`
+ Acción: `ec2:AssociateAddress` en `all AWS resources`
+ Acción: `ec2:DisassociateAddress` en `all AWS resources`
+ Acción: `ec2:DescribeRouteTables` en `all AWS resources`
+ Acción: `ec2:DescribeSecurityGroups` en `all AWS resources`
+ Acción: `ec2:DescribeVpcEndpoints` en `all AWS resources`
+ Acción: `ec2:CreateTags` en la operación `ec2:CreateNetworkInterface` con `aws:TagKeys: ["WorkSpacesWebManaged"]`
+ Acción: `cloudwatch:PutMetricData` en `all AWS resources`
+ Acción: `kinesis:PutRecord` en flujos de datos de Kinesis con nombres que comiencen por `amazon-workspaces-web-`
+ Acción: `kinesis:PutRecords` en flujos de datos de Kinesis con nombres que comiencen por `amazon-workspaces-web-`
+ Acción: `kinesis:DescribeStreamSummary` en flujos de datos de Kinesis con nombres que comiencen por `amazon-workspaces-web-`

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

# Crear un rol vinculado a un servicio para WorkSpaces Secure Browser
<a name="create-slr"></a>

No necesita crear manualmente un rol vinculado a servicios. Al crear su primer portal en la Consola de administración de AWS, la o la AWS API AWS CLI, WorkSpaces Secure Browser crea automáticamente la función vinculada al servicio. 

**importante**  
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. 

Si elimina este rol vinculado a un servicio y luego necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea su primer portal, WorkSpaces Secure Browser vuelve a crear el rol vinculado al servicio para usted. 

**También puede usar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso de Secure Browser. WorkSpaces ** En la API AWS CLI o en la AWS API, cree una función vinculada a un servicio con el nombre del servicio. `workspaces-web.amazonaws.com` Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

# Edición de un rol vinculado a un servicio para Secure Browser WorkSpaces
<a name="edit-slr"></a>

WorkSpaces Secure Browser no le permite editar el rol vinculado al `AWSServiceRoleForAmazonWorkSpacesWeb` servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

# Eliminar un rol vinculado a un servicio para Secure Browser WorkSpaces
<a name="delete-slr"></a>

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a servicios, recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

**nota**  
Si el servicio WorkSpaces Secure Browser utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

**Para eliminar los recursos de WorkSpaces Secure Browser utilizados por el AWSService RoleForAmazonWorkSpacesWeb**
+ Elija una de las siguientes opciones.
  + Si usa la consola, elimine todos los portales en la consola.
  + Si usa la CLI o la API, desasocie todos sus recursos (incluida la configuración del navegador, la configuración de red, la configuración de usuario, los almacenes de confianza y la configuración de registro de acceso de los usuarios) de sus portales, elimine estos recursos y, a continuación, elimine los portales.

**Para eliminar manualmente el rol vinculado a servicios mediante IAM**

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSService RoleForAmazonWorkSpacesWeb servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

# Regiones compatibles con las funciones vinculadas al servicio de WorkSpaces Secure Browser
<a name="slr-regions"></a>

WorkSpaces Secure Browser admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Regiones y puntos de conexión de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).