Aggiungere un ruolo di servizio - AWS Amplify Ospitare
Creazione di un ruolo di servizioPrevenzione del "confused deputy"

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiungere un ruolo di servizio

Amplify richiede le autorizzazioni per distribuire risorse di backend con il front-end. Per eseguire questa operazione, è possibile utilizzare un ruolo di servizio. Un ruolo di servizio è il ruolo AWS Identity and Access Management (IAM) che Amplify assume quando chiama altri servizi per tuo conto. In questa guida, imparerai come creare un ruolo del servizio Amplify con autorizzazioni amministrative dell'account e che consenta esplicitamente l'accesso diretto alle risorse richieste dalle applicazioni Amplify per distribuire, creare e gestire i backend.

Creazione di un ruolo di servizio

Per creare un ruolo di servizio

  1. Apri la console IAM e scegli Ruoli dalla barra di navigazione a sinistra, quindi scegli Crea ruolo.

  2. Nella sezione Seleziona un'identità attendibile scegli Servizio AWS . Per Use case, seleziona Amplify, quindi scegli Avanti.

  3. Nella pagina Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo).

  4. Nella pagina Nome, visualizzazione e creazione, per Nome ruolo inserisci un nome significativo, ad esempio. AmplifyConsoleServiceRole-AmplifyRole

  5. Accetta tutte le impostazioni predefinite e scegli Crea ruolo.

  6. Torna alla console Amplify per assegnare il ruolo alla tua app.

    • Se stai implementando una nuova app

      1. Aggiorna l'elenco dei ruoli di servizio.

      2. Seleziona il ruolo che hai appena creato. Per questo esempio, dovrebbe assomigliare a AmplifyConsoleServiceRole- AmplifyRole

      3. Scegli Avanti e segui i passaggi per completare la distribuzione dell'app.

    • Se hai un'app esistente

      1. Nel riquadro di navigazione, scegli Impostazioni app, quindi Impostazioni generali.

      2. Nella pagina Impostazioni generali, scegli Modifica.

      3. Nella pagina Modifica impostazioni generali, seleziona il ruolo appena creato dall'elenco dei ruoli di servizio.

      4. Selezionare Salva.

  7. La console Amplify ora dispone delle autorizzazioni per distribuire risorse di backend per la tua app.

Prevenzione del "confused deputy"

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.

Attualmente, la politica di fiducia predefinita per il ruolo di Amplify-Backend Deployment servizio applica le chiavi delle condizioni di contesto aws:SourceAccount globale per evitare che si aws:SourceArn crei confusione tra deputati. Tuttavia, se in precedenza hai creato un Amplify-Backend Deployment ruolo nel tuo account, puoi aggiornare la politica di fiducia del ruolo aggiungendo queste condizioni per evitare che il sostituto sia confuso.

Usa l'esempio seguente per limitare l'accesso alle app del tuo account. Sostituisci la regione e l'ID dell'applicazione nell'esempio con le tue informazioni.

"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

Per istruzioni su come modificare la politica di fiducia per un ruolo utilizzando la AWS Management Console, consulta Modifying a role (console) nella IAM User Guide.