Políticas gerenciadas pela AWS defasadas
Para simplificar a atribuição de permissões, a AWS fornece políticas gerenciadas, políticas predefinidas que estão prontas para serem anexadas a usuários, grupos e funções do IAM.
Às vezes, a AWS precisa adicionar uma nova permissão a uma política existente, como quando um novo serviço é introduzido. Adicionar uma nova permissão a uma política existente não interrompe nem remove nenhum recurso ou capacidade.
No entanto, a AWS pode optar por criar uma nova política quando as alterações necessárias podem afetar os clientes se elas forem aplicadas a uma política existente. Por exemplo, a remoção de permissões de uma política existente pode interromper as permissões de alguma entidade do IAM ou aplicação que depende dela, podendo interromper uma operação essencial.
Portanto, quando uma alteração é necessária, a AWS cria uma nova política inteiramente nova com as alterações necessárias e a disponibiliza para os clientes. A política antiga é, então, marcada como preterida. Uma política gerenciada defasada aparece com um ícone de aviso próximo a ela na lista Policies (Políticas) no console do IAM.
Uma política obsoleta tem as seguintes características:
-
Ela continua a funcionar para todos os usuários, grupos e funções atualmente conectados. Nada é rompido.
-
Não é possível anexá-la a novos usuários, grupos ou funções. Se você desanexá-la de uma entidade atual, não poderá anexá-la novamente.
-
Depois de desanexá-la de todas as entidades atuais, ela não ficará mais visível e não poderá mais ser usada de nenhuma forma.
Se algum usuário, grupo ou função precisar da política, você deverá anexar a nova política. Quando você recebe um aviso de que uma política foi preterida, recomendamos que você planeje anexar imediatamente todos os usuários, grupos e funções à política substitua e desanexá-los da política depreciada. Se você continuar a usar a política depreciada, ela poderá carregar riscos que serão reduzidos apenas pela alternância para a política substituta.