Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cómo utilizar roles vinculados a servicios
AWS Support [y AWS Trusted Advisor utilice funciones vinculadas al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado al servicio es un rol de IAM único que está vinculado directamente a y. Soporte Trusted Advisor En cada caso, el rol vinculado a un servicio es un rol predefinido. Esta función incluye todos los permisos Soporte o requisitos para llamar Trusted Advisor a otros AWS servicios en su nombre. En los temas siguientes se explica lo que hacen las funciones vinculadas a los servicios y cómo trabajar con ellas en Soporte y. Trusted Advisor
**Topics**
+ [Uso de roles vinculados al servicio para AWS Support](using-service-linked-roles-sup.md)
+ [Utilizar funciones vinculadas al servicio para Trusted Advisor](using-service-linked-roles-ta.md)
# Uso de roles vinculados al servicio para AWS Support
AWS Support las herramientas recopilan información sobre sus AWS recursos mediante llamadas a la API para proporcionar servicio al cliente y soporte técnico. Para aumentar la transparencia y la auditabilidad de las actividades de soporte, Soporte utiliza una función vinculada al [servicio AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM).
La función `AWSServiceRoleForSupport` vinculada al servicio es una función de IAM única a la que se vincula directamente. Soporte Esta función vinculada al servicio está predefinida e incluye los permisos necesarios para llamar a otros AWS servicios Soporte en su nombre.
El rol vinculado a servicios `AWSServiceRoleForSupport` confía en el servicio `support.amazonaws.com` para asumir el rol.
Para proporcionar estos servicios, los permisos predefinidos de la función permiten Soporte acceder a los metadatos de los recursos, no a los datos de los clientes. Solo Soporte las herramientas pueden asumir esta función, que existe en tu AWS cuenta.
Redactamos campos que podrían contener datos de clientes. Por ejemplo, los `Output` campos `Input` y de la [GetExecutionHistory](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetExecutionHistory.html)llamada a la AWS Step Functions API no están visibles para Soporte. Usamos AWS KMS keys para cifrar los campos confidenciales. Estos campos están redactados en la respuesta de la API y los AWS Support agentes no los ven.
**nota**
AWS Trusted Advisor utiliza un rol independiente vinculado al servicio de IAM para acceder a AWS los recursos de tu cuenta y ofrecer recomendaciones y comprobaciones sobre las mejores prácticas. Para obtener más información, consulte [Utilizar funciones vinculadas al servicio para Trusted Advisor](using-service-linked-roles-ta.md).
La función `AWSServiceRoleForSupport` vinculada al servicio permite que los clientes puedan ver todas las llamadas a la AWS Support API. AWS CloudTrail Esto ayuda a cumplir con los requisitos de supervisión y auditoría, ya que proporciona una forma transparente de entender las acciones que se llevan a Soporte cabo en su nombre. Para obtener más información al respecto CloudTrail, consulte la [Guía AWS CloudTrail del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Permisos de rol vinculados al servicio para Soporte
Este rol usa la política `AWSSupportServiceRolePolicy` AWS administrada. Esta política administrada está adjunta al rol y permite que el permiso del rol lleve a cabo acciones en su nombre.
Estas acciones pueden incluir las siguientes:
+ Servicios de **facturación, administrativos, de soporte y otros servicios al AWS cliente**: el servicio de atención al cliente utiliza los permisos otorgados por la política gestionada para prestar una serie de servicios como parte de su plan de soporte. Esto incluye investigar y responder a preguntas relacionadas con la cuenta y la facturación, proporcionar soporte administrativo para la cuenta, aumentar las cuotas de servicio y ofrecer otros tipos de atención al cliente.
+ **Procesamiento de los atributos del servicio y los datos de uso de tu AWS cuenta**: Soporte es posible que utilices los permisos otorgados por la política gestionada para acceder a los atributos del servicio y a los datos de uso de tu AWS cuenta. Esta política te Soporte permite proporcionar asistencia técnica, administrativa y de facturación para tu cuenta. Los atributos de servicio incluyen los identificadores de recursos, las etiquetas de metadatos, los roles y los permisos de su cuenta. Los datos de uso incluyen las políticas de uso, las estadísticas de uso y los análisis.
+ **Mantener el estado operativo de su cuenta y sus recursos**: Soporte utiliza herramientas automatizadas para realizar acciones relacionadas con el soporte operativo y técnico.
Para obtener más información sobre los servicios y acciones permitidos, consulte la política de [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) en la consola de IAM.
**nota**
AWS Support actualiza automáticamente la `AWSSupportServiceRolePolicy` política una vez al mes para añadir permisos para nuevos AWS servicios y acciones.
Para obtener más información, consulte [AWS políticas gestionadas para AWS Support](security-iam-awsmanpol.md).
## Crear un rol vinculado a un servicio para Soporte
No necesita crear manualmente un rol `AWSServiceRoleForSupport`. Al crear una AWS cuenta, este rol se crea y configura automáticamente para usted.
**importante**
Si lo utilizaste Soporte antes de que empezara a admitir roles vinculados al servicio, entonces AWS creaste el `AWSServiceRoleForSupport` rol en tu cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en la cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Editar y eliminar un rol vinculado a un servicio para Soporte
Puede utilizar IAM para editar la descripción del rol vinculado a servicio `AWSServiceRoleForSupport`. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
El `AWSServiceRoleForSupport` rol es necesario Soporte para proporcionar soporte administrativo, operativo y técnico a su cuenta. Como resultado, este rol no se puede eliminar a través de la consola, la API o AWS Command Line Interface (AWS CLI) de IAM. De esta forma, se protege su cuenta de AWS , ya que usted no podrá eliminar accidentalmente los permisos necesarios para administrar los servicios de soporte.
Los clientes que se hayan incorporado a un Soporte plan Enterprise AWS Organizations y que dispongan de él pueden eliminar el rol vinculado al `AWSServiceRoleForSupport` servicio. La eliminación de este rol restringe el acceso de los AWS Support ingenieros a tus recursos, lo que limita su capacidad para realizar acciones en tu nombre. Para obtener más información o para solicitar la eliminación del rol `AWSServiceRoleForSupport` vinculado al servicio, póngase en contacto con su administrador técnico de cuentas (TAM).
Para obtener más información sobre el rol de `AWSServiceRoleForSupport` o sus usos, póngase en contacto con [Soporte](https://aws.amazon.com/support).
# Utilizar funciones vinculadas al servicio para Trusted Advisor
AWS Trusted Advisor [usa el rol vinculado al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) Un rol vinculado a un servicio es un rol de IAM único al que se vincula directamente. AWS Trusted Advisor Los roles vinculados al servicio están predefinidos e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre. Trusted Advisor Trusted Advisor utiliza esta función para comprobar su uso AWS y ofrecer recomendaciones para mejorar su AWS entorno. Por ejemplo, Trusted Advisor analiza el uso de sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) para ayudarle a reducir los costes, aumentar el rendimiento, tolerar los fallos y mejorar la seguridad.
**nota**
AWS Support utiliza una función independiente vinculada al servicio de IAM para acceder a los recursos de su cuenta y proporcionar servicios de facturación, administrativos y de soporte. Para obtener más información, consulte [Uso de roles vinculados al servicio para AWS Support](using-service-linked-roles-sup.md).
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque los servicios para los que se indique **Sí** en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Permisos de rol vinculados al servicio para Trusted Advisor](#service-linked-role-permissions-ta)
+ [Administración de permisos de roles vinculados a servicios](#manage-permissions-for-slr)
+ [Crear un rol vinculado a un servicio para Trusted Advisor](#create-service-linked-role-ta)
+ [Edición de un rol vinculado a un servicio para Trusted Advisor](#edit-service-linked-role-ta)
+ [Eliminar un rol vinculado a un servicio para Trusted Advisor](#delete-service-linked-role-ta)
## Permisos de rol vinculados al servicio para Trusted Advisor
Trusted Advisor usa dos roles vinculados al servicio:
+ [AWSServiceRoleForTrustedAdvisor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor)— Esta función confía en que el Trusted Advisor servicio asuma la función de acceder a AWS los servicios en su nombre. La política de permisos del rol permite el acceso Trusted Advisor de solo lectura a todos AWS los recursos. Esta función simplifica la tarea de empezar a utilizar tu AWS cuenta, ya que no tienes que añadir los permisos necesarios para ella. Trusted Advisor Cuando abres una AWS cuenta, Trusted Advisor crea este rol para ti. Los permisos definidos incluyen la política de confianza y la política de permisos. No se puede adjuntar la política de permisos a ninguna otra entidad de IAM.
Para obtener más información sobre la política adjunta, consulte [AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy).
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting): este rol confía en el servicio de Trusted Advisor para asumir el rol de la característica de vista organizativa. Este rol se habilita Trusted Advisor como un servicio de confianza en su AWS Organizations organización. Trusted Advisor crea este rol para usted cuando habilita la vista organizacional.
Para obtener más información sobre la política adjunta, consulte [AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy).
Puede utilizar la vista organizativa para crear informes y Trusted Advisor comprobar los resultados de todas las cuentas de la organización. Para obtener más información acerca de esta característica, consulte [Vista organizativa de AWS Trusted Advisor](organizational-view.md).
## Administración de permisos de roles vinculados a servicios
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. En los siguientes ejemplos, se utiliza el rol vinculado a servicio de `AWSServiceRoleForTrustedAdvisor`.
**Example : permitir que una entidad de IAM cree el rol vinculado a servicio de `AWSServiceRoleForTrustedAdvisor`**
Este paso solo es necesario si la Trusted Advisor cuenta está deshabilitada, se elimina el rol vinculado al servicio y el usuario debe volver a crear el rol para volver a habilitarlo. Trusted Advisor
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM para crear el rol vinculado al servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example : **permitir a una entidad de IAM editar la descripción del rol vinculado a servicio `AWSServiceRoleForTrustedAdvisor`****
Solo puede editar la descripción para el rol de `AWSServiceRoleForTrustedAdvisor`. Puede agregar la siguiente instrucción a la política de permisos de la entidad de IAM para editar la descripción del rol vinculado al servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example : permitir a una entidad de IAM eliminar el rol vinculado a servicio de `AWSServiceRoleForTrustedAdvisor`**
Puede agregar la siguiente instrucción a la política de permisos de la entidad de IAM para eliminar el rol vinculado al servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
También puede usar una política AWS administrada, por ejemplo, para proporcionar [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)acceso total a. Trusted Advisor
## Crear un rol vinculado a un servicio para Trusted Advisor
No necesita crear manualmente el rol vinculado al servicio `AWSServiceRoleForTrustedAdvisor`. Al abrir una AWS cuenta, Trusted Advisor crea automáticamente el rol vinculado al servicio.
**importante**
Si utilizabas el Trusted Advisor servicio antes de que comenzara a admitir roles vinculados al servicio, entonces Trusted Advisor ya creaste el `AWSServiceRoleForTrustedAdvisor` rol en tu cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) en la *Guía del usuario de IAM*.
Si su cuenta no tiene el rol vinculado a servicio `AWSServiceRoleForTrustedAdvisor`, Trusted Advisor no funcionará según lo previsto. Esto podría ocurrir si alguien desactivara Trusted Advisor en su cuenta y, a continuación, eliminara el rol vinculado al servicio. En este caso, puede utilizar IAM para crear el rol vinculado al servicio `AWSServiceRoleForTrustedAdvisor` y, a continuación, habilitar de nuevo Trusted Advisor.
**Para habilitar Trusted Advisor (consola)**
1. Utilice la consola de IAM o la API de IAM para crear un rol vinculado a un servicio para. AWS CLI Trusted Advisor Para obtener más información, consulte [Crear un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role).
1. Inicie sesión en y Consola de administración de AWS, a continuación, navegue hasta la consola en. Trusted Advisor [https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)
El banner de estado **Trusted Advisor desactivado** aparecerá en la consola.
1. Selecciona **Habilitar Trusted Advisor rol** en el banner de estado. Si no se detecta el `AWSServiceRoleForTrustedAdvisor` necesario, el banner de estado permanece desactivado.
## Edición de un rol vinculado a un servicio para Trusted Advisor
Dado que varias entidades pueden hacer referencia al rol vinculado al servicio, no puede cambiar su nombre después de crearlo. Sin embargo, puede utilizar la consola de IAM o la API de IAM para editar la descripción del rol. AWS CLI Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Trusted Advisor
Si no necesita usar las funciones o los servicios de Trusted Advisor, puede eliminar el `AWSServiceRoleForTrustedAdvisor` rol. Debe deshabilitarlo Trusted Advisor antes de poder eliminar este rol vinculado al servicio. Esto impide que se eliminen los permisos necesarios para las operaciones de Trusted Advisor . Al inhabilitar Trusted Advisor, deshabilita todas las funciones del servicio, incluidas las notificaciones y el procesamiento sin conexión. Además, si inhabilitas Trusted Advisor la cuenta de un miembro, también se verá afectada la cuenta del pagador independiente, lo que significa que no recibirás Trusted Advisor cheques que identifiquen formas de ahorrar costes. No puede obtener acceso a la consola de Trusted Advisor . Las llamadas a la API Trusted Advisor devuelven un error de acceso denegado.
Debe volver a crear el rol vinculado al servicio de `AWSServiceRoleForTrustedAdvisor` en la cuenta para que pueda volver a habilitar Trusted Advisor.
Primero debes inhabilitarlo Trusted Advisor en la consola para poder eliminar el rol `AWSServiceRoleForTrustedAdvisor` vinculado al servicio.
**Para inhabilitarlo Trusted Advisor**
1. Inicie sesión en Consola de administración de AWS y navegue hasta la Trusted Advisor consola en[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor).
1. En el panel de navegación, elija **Preferences (Preferencias)**.
1. En la sección **Service Linked Role Permissions (Permisos de roles vinculados a servicios)**, elija **Disable (Desactivar) Trusted Advisor**.
1. En el cuadro de diálogo de confirmación, elija **OK (Aceptar)** para confirmar que desea desactivar Trusted Advisor.
Tras la desactivación Trusted Advisor, se Trusted Advisor desactivarán todas las funciones y la Trusted Advisor consola mostrará solo el cartel de estado de desactivado.
A continuación, puede utilizar la consola de IAM AWS CLI, la API de IAM o la API de IAM para eliminar el rol vinculado al Trusted Advisor servicio denominado. `AWSServiceRoleForTrustedAdvisor` Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.