

# Uso de roles vinculados al servicio para los registros de flujo de VPC
<a name="flow-logs-slr"></a>

Los registros de flujo de VPC utilizan [roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que está vinculado directamente a los registros de flujo de VPC. Los roles vinculados a servicios están predefinidos por los registros de flujo de VPC e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre. 

Un rol vinculado a un servicio simplifica la configuración de los registros de flujo de VPC porque ya no tendrá que añadir manualmente los permisos necesarios. Los registros de flujo de VPC definen los permisos de los roles vinculados al servicio y, salvo que se indique lo contrario, solo los registros de flujo de VPC pueden asumir esos roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege los recursos de los registros de flujo de VPC, ya que no puede eliminar de forma involuntaria los permisos para acceder a dichos recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de los roles vinculados al servicio para los registros de flujo de VPC
<a name="slr-permissions"></a>

Los registros de flujo de VPC utilizan el rol vinculado al servicio denominado **AWSServiceRoleForVPCFlowLogs** – Este rol vinculado al servicio permite a los registros de flujo de VPC crear y administrar reglas administradas de EventBridge y llamar a las API DescribeTag en representación del usuario para realizar un seguimiento automático de las actualizaciones de los valores de las etiquetas de EC2 asociados a los recursos en las suscripciones de registros de flujo que incluyen campos de etiquetas.

El rol vinculado al servicio AWSServiceRoleForVPCFlowLogs confía en los siguientes servicios para asumir el rol:
+ `vpc-flow-logs.amazonaws.com`

La política de permisos del rol se denomina AWSVPCFlowLogsServiceRolePolicy y permite que los registros de flujo de VPC puedan realizar las siguientes acciones en los recursos especificados:
+ Acción: `autoscaling:DescribeTags` en los grupos de Auto Scaling de EC2 para validar los valores de las etiquetas.

  Acción: `tag:GetResources` en las instancias de EC2 y las interfaces de red elásticas para validar los valores de las etiquetas.

  Acción: `events:PutRule` en las nuevas reglas administradas a partir de las fuentes `aws.tag` y `aws.autoscaling` para los tipos de detalles relacionados con los eventos de cambio de etiquetas.

  Acción: `events:DeleteRule` en las reglas administradas creadas por los registros de flujo de VPC denominados `VPCFlowLogsEC2TagsManagedRule` y/o `VPCFlowLogsASGTagsManagedRule`.

  Acción: `events:DescribeRule` en las reglas administradas creadas por los registros de flujo de VPC denominados `VPCFlowLogsEC2TagsManagedRule` y/o `VPCFlowLogsASGTagsManagedRule`.

  Acción: `events:PutTargets` en las reglas administradas creadas por los registros de flujo de VPC denominados `VPCFlowLogsEC2TagsManagedRule` y/o `VPCFlowLogsASGTagsManagedRule`.

  Acción: `events:RemoveTargets` en las reglas administradas creadas por los registros de flujo de VPC denominados `VPCFlowLogsEC2TagsManagedRule` y/o `VPCFlowLogsASGTagsManagedRule`.

Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Creación de un rol vinculado al servicio para los registros de flujo de VPC
<a name="create-slr"></a>

No necesita crear manualmente un rol vinculado a servicios. Cuando crea CreateFlowLogs con campos de etiquetas en su formato de registro y el parámetro TagFieldSpecifications asociado en la API Consola de administración de AWS, AWS CLI, o AWS, los registros de flujo de VPC crean el rol vinculado al servicio por usted. 

**importante**  
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea CreateFlowLogs con campos de etiquetas en su formato de registro y el parámetro TagFieldSpecifications asociado, los registros de flujo de VPC crean de nuevo el rol vinculado al servicio por usted. 

También puede usar la consola de IAM para crear un rol vinculado a servicios con el caso de uso **AWSServiceRoleForVPCFlowLogs**. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio `vpc-flow-logs.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.

## Edición de un rol vinculado al servicio para los registros de flujo de VPC
<a name="edit-slr"></a>

Los registros de flujo de VPC no permiten que edite el rol vinculado al servicio AWSServiceRoleForVPCFlowLogs. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminación de un rol vinculado al servicio para los registros de flujo de VPC
<a name="delete-slr"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

**nota**  
Si el servicio de los registros de flujo de VPC usa el rol cuando intenta eliminar los recursos, es posible que la eliminación no se complete correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

**Para eliminar los recursos de los registros de flujo de VPC utilizados por AWSServiceRoleForVPCFlowLogs**

1. Elimine todas las suscripciones a los registros de flujo de VPC que usen campos de etiquetas en el formato de registro.

1. Espere al menos una hora a que los registros de flujo de VPC procesen la eliminación de todas las suscripciones de etiquetas de la cuenta y limpien automáticamente las reglas administradas de EventBridge creadas para admitir el enriquecimiento de registros.

**Eliminación manual del rol vinculado a servicios mediante IAM**

Use la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForVPCFlowLogs. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

## Regiones compatibles con roles vinculados al servicio para los registros de flujo de VPC
<a name="slr-regions"></a>

Los registros de flujo de VPC no admiten el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Puede usar el rol AWSServiceRoleForVPCFlowLogs en las siguientes regiones.


| Nombre de la región | Identidad de la región | Compatibilidad con los registros de flujo de VPC | 
| --- | --- | --- | 
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí | 
| Este de EE. UU. (Ohio) | us-east-2 | Sí | 
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí | 
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí | 
| África (Ciudad del Cabo) | af-south-1 | Sí | 
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí | 
| Asia-Pacífico (Yakarta) | ap-southeast-3 | Sí | 
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí | 
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí | 
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí | 
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí | 
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí | 
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí | 
| Canadá (centro) | ca-central-1 | Sí | 
| Europa (Fráncfort) | eu-central-1 | Sí | 
| Europa (Irlanda) | eu-west-1 | Sí | 
| Europa (Londres) | eu-west-2 | Sí | 
| Europa (Milán) | eu-south-1 | Sí | 
| Europa (París) | eu-west-3 | Sí | 
| Europa (Estocolmo) | eu-north-1 | Sí | 
| Medio Oriente (Baréin) | me-south-1 | Sí | 
| Medio Oriente (EAU) | me-central-1 | Sí | 
| América del Sur (São Paulo) | sa-east-1 | Sí | 
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | Sí | 
| AWS GovCloud (Oeste de EE. UU.) | us-gov-west-1 | Sí | 