Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Usar roles vinculados a servicios para Detective
Amazon Detective utiliza funciones AWS Identity and Access Management vinculadas al [servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Detective. Los roles vinculados al servicio están predefinidos por el Detective e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio simplifica la configuración de Detective al evitar que se tengan que agregar manualmente los permisos necesarios. Detective define los permisos de sus roles vinculados al servicio y, salvo que se defina de otro modo, solo Detective puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus recursos de Detective, ya que evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a servicio**. Seleccione una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de rol vinculado a servicio de Detective
El Detective usa el rol vinculado al servicio denominado **AWSServiceRoleForDetective**: permite que el Detective acceda a la AWS Organizations información en su nombre.
El rol AWSService RoleForDetective vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `detective.amazonaws.com`
El rol AWSService RoleForDetective vinculado al servicio usa la política administrada. [`AmazonDetectiveServiceLinkedRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy)
Para obtener más información sobre las actualizaciones de la `AmazonDetectiveServiceLinkedRolePolicy` política, consulta [Amazon Detective actualiza las políticas AWS gestionadas](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates). Para recibir alertas automáticas sobre los cambios en esta política, suscríbase a la fuente RSS de la página del [historial de documentos del Detective](https://docs.aws.amazon.com//detective/latest/userguide/doc-history.html).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a servicio para Detective
No necesita crear manualmente un rol vinculado a un servicio. Cuando designa la cuenta de administrador de Detective para una organización en la Consola de administración de AWS AWS CLI, la o la AWS API, Detective crea el rol vinculado al servicio para usted.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al designar la cuenta de administrador de Detective de una organización, Detective crea el rol vinculado al servicio en su nombre una vez más.
## Editar un rol vinculado a servicio para Detective
Detective no le permite editar el rol AWSService RoleForDetective vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Detective
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio Detective está utilizando el rol mientras usted intenta eliminar los recursos, la eliminación podría fallar. Si esto sucede, espere unos minutos y reintente la operación.
**Para eliminar los recursos de Detective utilizados por el AWSService RoleForDetective**
1. Elimine la cuenta de administrador de Detective. Consulte [Designación del Detective administrador de una organización](accounts-designate-admin.md).
1. Repita el proceso en cada región en la que haya designado la cuenta de administrador de Detective.
**Para eliminar manualmente el rol vinculado al servicio con IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSService RoleForDetective servicio. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para los roles vinculados a servicios de Detective
Detective admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Regiones y puntos de conexión de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).