Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Service-linked roles para AWS CloudHSM
<a name="service-linked-roles"></a>

La política de IAM que creó anteriormente [Políticas gestionadas por el cliente para AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm) incluye la `iam:CreateServiceLinkedRole` acción. AWS CloudHSM define un rol [vinculado al servicio denominado](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). **AWSServiceRoleForCloudHSM** El rol está predefinido AWS CloudHSM e incluye los permisos necesarios para AWS CloudHSM llamar a otros AWS servicios en su nombre. El rol facilita la configuración del servicio, ya que no es necesario agregar manualmente los permisos de las políticas de rol y de confianza.

La política de roles permite AWS CloudHSM crear grupos de CloudWatch registros y flujos de registros de Amazon Logs y escribir eventos de registro en su nombre. Puede verlo a continuación y en la consola de IAM. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:*"
            ]
        }
    ]
}
```

------

La política de confianza del **AWSServiceRoleForCloudHSM**rol AWS CloudHSM permite asumirlo.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudhsm.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

## Creación de un rol vinculado a un servicio (automático)
<a name="create-slr-auto"></a>

AWS CloudHSM crea el **AWSServiceRoleForCloudHSM**rol al crear un clúster si incluye la `iam:CreateServiceLinkedRole` acción en los permisos que definió al crear el grupo de AWS CloudHSM administradores. Consulte [Políticas gestionadas por el cliente para AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm). 

Si ya tienes uno o más clústeres y solo quieres añadir el **AWSServiceRoleForCloudHSM**rol, puedes usar la consola, el comando [create-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html) o la operación de [CreateCluster](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html)API para crear un clúster. A continuación, usa la consola, el comando [delete-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/delete-cluster.html) o la operación de [DeleteCluster](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DeleteCluster.html)API para eliminarlo. Al crear el nuevo clúster se crea la función vinculada al servicio y se aplica a todos los clústeres de la cuenta. También puede crear el rol manualmente. Consulte la siguiente sección para obtener más información. 

**nota**  
No necesita realizar todos los pasos descritos en la sección [Empezar con AWS CloudHSM](getting-started.md) para crear un clúster si solo lo está creando para añadir el **AWSServiceRoleForCloudHSM**rol.

## Creación de un rol vinculado a un servicio (manual)
<a name="create-slr-manual"></a>

Puede usar la consola de IAM o AWS CLI la API para crear el **AWSServiceRoleForCloudHSM**rol. Para obtener más información, consulte [Creación de un Service-Linked rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la Guía del *usuario de IAM*. 

## Edición del rol vinculado al servicio
<a name="edit-slr"></a>

AWS CloudHSM no permite editar el **AWSServiceRoleForCloudHSM**rol. Después de que se cree el rol, por ejemplo, no podrá cambiar su nombre porque varias entidades pueden hacer referencia al rol por su nombre. Además, no puede cambiar la política de rol. Sin embargo, puede usar IAM para editar la descripción del rol. Para obtener más información, consulte [Editar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminación del rol vinculado a un servicio
<a name="delete-slr"></a>

No puede eliminar una función vinculada a un servicio si todavía existe un clúster al que se haya aplicado. Para eliminar el rol, primero debe eliminar cada HSM de su clúster y, a continuación, eliminar el clúster. Se debe eliminar cada clúster de su cuenta. A continuación, puede utilizar la consola de IAM o la API para eliminar el rol. AWS CLI Para obtener más información acerca de la eliminación de un clúster, consulte [Eliminar un AWS CloudHSM clúster](delete-cluster.md). Para obtener más información, consulte [Eliminar un Service-Linked rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la Guía del *usuario de IAM*.