Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de Service-Linked roles para AWS Config
<a name="using-service-linked-roles"></a>

AWS Config utiliza funciones AWS Identity and Access Management vinculadas al [servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Config Service-linked Los roles están predefinidos AWS Config e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre. 

Un rol vinculado a un servicio facilita la configuración AWS Config , ya que no es necesario añadir manualmente los permisos necesarios. AWS Config define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Config puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios en los que se indica **Sí** en la columna **Service-Linked Rol vinculado a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Service-Linked Permisos de rol para AWS Config
<a name="slr-permissions"></a>

AWS Config usa el rol vinculado al servicio denominado **AwsServiceRoleForConfig**: AWS Config usa este rol vinculado al servicio para llamar a otros AWS servicios en su nombre. Para ver las actualizaciones más recientes, consulte [AWS Config actualizaciones de AWS políticas administradas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

El rol vinculado a servicios **AwsServiceRoleForConfig** confía en el servicio `config.amazonaws.com` para asumir el rol.

La política de permisos del `AwsServiceRoleForConfig` rol contiene permisos de solo lectura y solo escritura para los recursos y permisos de solo lectura para AWS Config los recursos de otros servicios compatibles. AWS Config [Para ver la política administrada de, consulte Políticas administradas de **AwsServiceRoleForConfig**.AWSAWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSConfigServiceRolePolicy)

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [los permisos de Service-Linked rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

Para utilizar un rol vinculado a un servicio AWS Config, debe configurar los permisos en su bucket de Amazon S3 y en el tema de Amazon SNS. Para obtener más información, consulte [Permisos necesarios para el bucket de Amazon S3 al utilizar Service-Linked rolesPermisos necesarios para el bucket de Amazon S3 durante la entrega Cross-Account](s3-bucket-policy.md#required-permissions-using-servicelinkedrole), [Permisos necesarios para AWS KMS La clave a la hora de utilizar Service-Linked los roles (S3 Bucket Delivery)](s3-kms-key-policy.md#required-permissions-s3-kms-key-using-servicelinkedrole) y [Permisos necesarios para el tema Amazon SNS al utilizar roles Service-Linked](sns-topic-policy.md#required-permissions-snstopic-using-servicelinkedrole). 

## Crear un rol para Service-Linked AWS Config
<a name="create-slr"></a>

En la CLI de IAM o la API de IAM, cree un rol vinculado a servicio con el nombre de servicio `config.amazonaws.com`. Para obtener más información, consulte [Creación de un Service-Linked rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

## Edición de un Service-Linked rol para AWS Config
<a name="edit-slr"></a>

AWS Config no permite editar el rol **AwsServiceRoleForConfig**vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un Service-Linked rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la Guía del usuario de *IAM.*

## Eliminar un Service-Linked rol para AWS Config
<a name="delete-slr"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente. 

**nota**  
Si el AWS Config servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

**Para eliminar AWS Config los recursos utilizados por el **AwsServiceRoleForConfig****

Compruebe que no haya `ConfigurationRecorders` que estén utilizando el rol vinculado al servicio. Puede utilizar la AWS Config consola para detener la grabadora de configuración. Para detener la grabación, en **Recording is on (La grabación está activada)**, elija **Turn off (Desactivar)**.

Puede eliminar la AWS Config API `ConfigurationRecorder` de uso. Para eliminarlo, utilice el comando`delete-configuration-recorder`.

```
        $ aws configservice delete-configuration-recorder --configuration-recorder-name {{default}}
```

**Para eliminar manualmente el rol vinculado a servicios mediante IAM**

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios AwsServiceRoleForConfig. Para obtener más información, consulte [Eliminar un Service-Linked rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.