Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados a servicios para Directory Service
AWS Directory Service usa roles vinculados al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. Directory Service Service-linked Los roles están predefinidos Directory Service e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración Directory Service , ya que no es necesario añadir manualmente los permisos necesarios. Directory Service define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo Directory Service puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, que no se pueden adjuntar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto evita que pierda el acceso a sus Directory Service recursos porque no puede eliminar inadvertidamente los permisos de acceso a los recursos.
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM.
Temas
Service-linked permisos de rol para Directory Service
Directory Service utiliza el rol vinculado al servicio denominado AWSServiceRoleForDirectoryService: permite supervisar los controladores de AWS dominio autogestionados del cliente.
El rol vinculado al servicio AWSServiceRoleForDirectoryService depende de los siguientes servicios para asumir el rol:
-
ds.amazonaws.com
La política de permisos de roles denominada AWSDirectoryServiceServiceRolePolicy permite Directory Service realizar las siguientes acciones en los recursos especificados. Para ver todos los permisos de la política, consulte AWSDirectoryServiceServiceRolePolicyla Referencia de políticas AWS administradas.
-
ec2: permite que el servicio describa los recursos de la red, como las VPC, las subredes, los grupos de seguridad y las interfaces de red, para validar las configuraciones de conectividad híbrida:-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm— Permite que el servicio envíe y supervise las PowerShell etiquetas URL a los controladores de dominio locales con fines de supervisión y evaluación:-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte los permisos de los Service-linked roles en la Guía del usuario de IAM.
Creación de un rol vinculado a un servicio de Directory Service
No necesita crear manualmente un rol vinculado a servicios. Cuando AWS permite supervisar los controladores de dominio autogestionados del cliente en la Consola de administración de AWS, la AWS CLI API o la AWS API, Directory Service crea automáticamente la función vinculada al servicio. Para obtener más información acerca de este cambio, consulte Actualizaciones de la política.
importante
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizabas el Directory Service servicio antes del 1 de enero de 2017, cuando comenzó a admitir funciones vinculadas al servicio, Directory Service creaste la AWSServiceRoleForDirectoryServicefunción en tu cuenta. Para obtener más información, consulte Apareció un nuevo puesto en mi. Cuenta de AWS
Modificación de un rol vinculado a un servicio de Directory Service
Directory Service no permite editar el rol AWSServiceRoleForDirectoryServicevinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a un servicio de Directory Service
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el Directory Service servicio está utilizando el rol en el momento en que intenta eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Eliminación Directory Service recursos utilizados por el AWSServiceRoleForDirectoryService
-
Para eliminar su directorio, consulte Eliminar tu AWS Microsoft AD gestionado.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForDirectoryServiceservicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones compatibles para Directory Service roles vinculados a servicios
Directory Service no admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio esté disponible. Sin embargo, Directory Service utiliza el AWSServiceRoleForDirectoryServicerol solo en los Regiones de AWS casos en los que puede optar por utilizar directorios híbridos.
| Nombre de la región | Identidad de la región | Compatibilidad con registros |
|---|---|---|
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Medio Oriente (EAU) | me-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí |
| Asia-Pacífico (Hyderabad) | ap-south-2 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Asia-Pacífico (Melbourne) | ap-southeast-4 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (España) | eu-south-2 | Sí |
| Europa (Zúrich) | eu-central-2 | Sí |
