# Creación de roles y asociación de políticas (consola)
<a name="access_policies_job-functions_create-policies"></a>

Varias de las políticas indicadas anteriormente hacen que pueda configurar servicios de AWS con roles que les permitan llevar a cabo operaciones por usted. Las políticas de funciones especifican los nombres exactos del rol que debe utilizar o al menos incluyen un prefijo que especifique la primera parte del nombre que puede utilizarse. Para crear uno de estos roles, siga los pasos que se indican en el siguiente procedimiento.

**Cómo crear un rol para un Servicio de AWS (consola de IAM)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. En **Tipo de entidad de confianza**, elija **Servicio de AWS**.

1. En **Servicio o caso de uso**, seleccione un servicio y, a continuación, el caso de uso. Los casos de uso son definidos por el servicio de modo tal que ya incluyen la política de confianza que el servicio mismo requiere.

1. Elija **Siguiente**.

1. Para las **Políticas de permisos**, las opciones dependen del caso de uso que haya seleccionado:
   + Si el servicio define los permisos para el rol, no puede seleccionar políticas de permisos.
   + Seleccione entre un conjunto limitado de políticas de permisos.
   + Seleccione una de todas las políticas de permisos.
   + No seleccione políticas de permisos en este momento. Después de crear el rol, genere las políticas y luego asócielas al rol.

1. (Opcional) Configure un [límite de permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

   1. Abra la sección **Configurar límite de permisos** y, a continuación, elija **Utilizar un límite de permisos para controlar los permisos que puedes tener el rol como máximo**. 

      IAM incluye una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de cada cuenta.

   1. Seleccione la política que desea utilizar para el límite de permisos.

1. Elija **Siguiente**.

1. Para **Nombre del rol**, las opciones varían según el servicio:
   + Si el servicio define el nombre del rol, no podrá editarlo.
   + Si el servicio define un prefijo para el nombre del rol, puede ingresar un sufijo opcional.
   + Si el servicio no define el nombre del rol, podrá nombrarlo usted mismo.
**importante**  
Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:  
Los nombres de rol deben ser únicos dentro de su Cuenta de AWS, y no se puedesn hacer únicos mediante mayúsculas y minúsculas.  
Por ejemplo, no puedes crear roles denominados tanto **PRODROLE** como **prodrole**. Cuando se utiliza un nombre de rol en una política o como parte de un ARN, el nombre de rol distingue entre mayúsculas y minúsculas, sin embargo, cuando un nombre de rol les aparece a los clientes en la consola, como por ejemplo durante el proceso de inicio de sesión, el nombre de rol no distingue entre mayúsculas y minúsculas.
Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.

1. (Opcional) **En Descripción**, ingrese una descripción para el rol.

1. (Opcional) Para editar los casos de uso y los permisos de la función, en las secciones **Paso 1: Seleccionar entidades confiables** o en **Paso 2: Agregar permisos**, elija **Editar**.

1. (Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetas para recursos de AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

1. Revise el rol y, a continuación, elija **Crear rol**.

## Ejemplo 1: configuración de un usuario como administrador de base de datos (consola)
<a name="jf_example_1"></a>

Este ejemplo muestra los pasos necesarios para establecer a Alice, usuaria de IAM, como [Administradora de base de datos](access_policies_job-functions.md#jf_database-administrator). Use la información de la primera fila de la tabla de dicha sección y permita a la usuaria que habilite el monitoreo de Amazon RDS. Debe asociar la política [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator) al usuario de IAM de Alice para que pueda administrar los servicios de base de datos de Amazon. Esta política también permite que Alice transmita un rol denominado `rds-monitoring-role` al servicio de Amazon RDS que permite al servicio supervisar las bases de datos de Amazon RDS en su nombre.

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Políticas**, escriba **database** en el cuadro de búsqueda y luego pulse Entrar.

1. Seleccione el botón de radio correspondiente a la política **DatabaseAdministrator**, luego **Acciones** y, por último **Asociar**.

1. En la lista de entidades, seleccione **Alice** y, a continuación, **Asociar política**. A partir de este momento Alice puede administrar las bases de datos de AWS. Sin embargo, debe configurar el rol de servicio para permitir a Alice monitorizar dichas bases de datos.

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. Elija el tipo de función de **servicio de AWS** y, a continuación, elija **Amazon RDS**.

1. Elija el caso de uso **Rol de Amazon RDS para el monitoreo mejorado**.

1. Amazon RDS define los permisos de su rol. Elija **Siguiente: revisión** para continuar.

1. El nombre del rol debe ser uno de los especificados en la política de DatabaseAdministrator que ahora tiene Alice. Uno de ellos es **rds-monitoring-role**. Ingréselo en **Nombre del rol**.

1. (Opcional) En **Descripción del rol**, introduzca una descripción para el nuevo rol.

1. Después de revisar los detalles, elija **Crear rol**.

1. Ahora Alice puede activar **Monitoreo mejorado de RDS** en la sección **Monitoreo** de la consola de Amazon RDS. Por ejemplo, puede hacerlo al crear una instancia de base de datos, crear una réplica de lectura o modificar una instancia de base de datos. Debe ingresar el nombre del rol creado (rds-monitoring-role) en el cuadro **Rol de supervisión** al establecer **Habilitar supervisión mejorada** en **Sí**. 

## Ejemplo 2: configuración de un usuario como administrador de red (consola)
<a name="jf_example_2"></a>

Este ejemplo muestra los pasos necesarios para establecer a Jorge, usuario de IAM, como [Administrador de red](access_policies_job-functions.md#jf_network-administrator). Se usa la información de la tabla en esa sección para permitir a Jorge supervisar el tráfico IP que va hacia y desde una VPC. También permite a Jorge capturar dicha información en los registros de CloudWatch. Debe asociar la política [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator) al usuario de IAM de Jorge para que pueda configurar los recursos de red de AWS. Esta política también permite a Jorge transmitir un rol cuyo nombre comience por `flow-logs*` a Amazon EC2 al crear un registro de flujo. En este caso, a diferencia del ejemplo 1, no existe un tipo de rol de servicio predefinido, de modo que debe realizar algunos pasos de forma distinta.

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas** y, a continuación, ingrese **network** en el cuadro de búsqueda y pulse Entrar.

1. Seleccione el botón de radio situado junto a la política **NetworkAdministrator**, luego **Acciones** y, por último, **Asociar**.

1. En la lista de usuarios, seleccione la casilla de verificación junto a **Jorge** y, a continuación, elija **Asociar política**. Jorge puede administrar ahora los recursos de red de AWS. Sin embargo, debe configurar el rol de servicio para permitir la monitorización del tráfico IP de la VPC.

1. Dado que el rol de servicio que necesita crear no tiene una política administrada predefinida, primero debe crearla. En el panel de navegación, seleccione **Políticas** y, a continuación, elija **Crear política**.

1. En la sección **Editor de políticas**, seleccione la opción **JSON** y copie el texto del siguiente documento de política de JSON. Pegue el texto en el cuadro de texto **JSON**. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }
   ```

------

1.  Resuelva las advertencias de seguridad, errores o advertencias generales generadas durante la [validación de política](access_policies_policy-validator.md) y luego elija **Siguiente**. 
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. En la página **Revisar y crear**, escriba **vpc-flow-logs-policy-for-service-role** como nombre de la política. Revise los **Permisos definidos en esta política** para ver los permisos que concede la política y, a continuación, seleccione **Crear política** para guardar su trabajo.

   La nueva política aparece en la lista de las políticas administradas y está lista para asociar.

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. Seleccione el tipo de rol **Servicio de AWS** y luego elija **Amazon EC2**.

1. Elija el caso de uso **Amazon EC2**

1. En la página **Asociar políticas de permisos**, seleccione la política que ha creado anteriormente, **vpc-flow-logs-policy-for-service-role**, a continuación, elija **Siguiente: revisión**.

1. El nombre del rol debe estar permitido por la política de NetworkAdministrator que Jorge tiene ahora. Los nombres que comiencen por `flow-logs-` están permitidos. En este ejemplo, ingrese **flow-logs-for-jorge** como **Nombre de rol**.

1. (Opcional) En **Descripción del rol**, introduzca una descripción para el nuevo rol.

1. Después de revisar los detalles, elija **Crear rol**.

1. Ahora puede configurar la política de confianza necesaria para este caso. En la página **Roles**, seleccione el rol **flow-logs-for-jorge** (el nombre, no la casilla de verificación). En la página de detalles del nuevo rol, elija la pestaña **Relaciones de confianza** y, a continuación, elija **Editar relación de confianza**.

1. Cambie la línea de "Service" para que se lea como sigue, sustituyendo la entrada por `ec2.amazonaws.com`:

   ```
           "Service": "vpc-flow-logs.amazonaws.com"
   ```

1. Jorge ahora puede crear registros de flujo para una VPC o subred en la consola de Amazon EC2. Al crear el registro de flujo, especifique el rol **flow-logs-for-jorge**. Este rol tiene los permisos para crear el log y escribir datos en él.