Adição de um perfil de serviço a uma aplicação do Amplify - AWS Amplify Hospedagem

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adição de um perfil de serviço a uma aplicação do Amplify

O Amplify exige permissões para implantar recursos do backend com o frontend. Você usa um perfil de serviço para fazer isso. Um perfil de serviço é um perfil do (IAM) AWS Identity and Access Management que o Amplify assume ao chamar outros serviços em seu nome.

Neste capítulo, você criará um perfil de serviço do Amplify que tenha permissões administrativas da conta e permita explicitamente acesso direto aos recursos que as aplicações do Amplify exigem para implantar, criar e gerenciar backends.

Criar um perfil de serviço

Para criar um perfil de serviço
  1. Faça login no console do IAM e escolha Perfis na barra de navegação à esquerda e escolha Criar perfil.

  2. Na página Selecionar tipo de entidade confiável, escolha Serviço da AWS. Em Caso de uso, selecione Amplify e, em seguida, Próximo.

  3. Na página Adicionar permissões, escolha Próximo.

  4. Na página Nomear, visualizar e criar, em Nome do perfil, insira um nome significativo, como AmplifyConsoleServiceRole-AmplifyRole.

  5. Aceite todos os padrões e escolha Criar perfil.

  6. Volte ao console do Amplify para anexar o perfil à sua aplicação.

    • Se você estiver no processo de implantação de uma nova aplicação, faça o seguinte:

      1. Atualize a lista de perfis de serviço.

      2. Escolha o perfil que você acabou de criar. Para este exemplo, ele deve ser semelhante a AmplifyConsoleServiceRole-AmplifyRole

      3. Escolha Próximo e siga as etapas para concluir a implantação da sua aplicação.

    • Se você já tiver uma aplicação existente, faça o seguinte:

      1. No painel de navegação, escolha Configurações da aplicação, e, em seguida, Configurações gerais.

      2. Na página Configurações gerais, selecione Editar.

      3. Na página Editar configurações gerais, selecione o perfil que você acabou de criar na lista Perfil de serviço.

      4. Escolha Salvar.

  7. Agora, o console do Amplify tem permissões para implantar recursos do backend na sua aplicação.

Edição da política de confiança de um perfil para evitar confusões

O problema do “confused deputy” é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Para ter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.

Atualmente, a política de confiança padrão para o Amplify-Backend Deployment perfil de serviço impõe aws:SourceArn e aws:SourceAccount chaves de condição de contexto global para prevenir o problema do “confused deputy”. No entanto, se você já criou um perfil Amplify-Backend Deployment em sua conta, pode atualizar a política de confiança do perfil para adicionar essas condições para se proteger contra o "confused deputy".

Use o exemplo a seguir para restringir o acesso aos aplicativos em sua conta. Substitua a região e o ID da aplicação no exemplo por suas próprias informações.

"Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } }

Para obter instruções sobre como editar a política de confiança de um perfil usando oAWS Management Console, consulte Modificar um perfil (console) no Guia do usuário do IAM.