Criar um perfil de serviço Prevenção do problema do “confused deputy”

Adicionar um perfil de serviço

O Amplify exige permissões para implantar recursos do back-end com o front-end. Você usa um perfil de serviço para fazer isso. Uma função de serviço é a função AWS Identity and Access Management (IAM) que o Amplify assume ao ligar para outros serviços em seu nome. Neste guia, você aprenderá como criar uma função de serviço do Amplify que tenha permissões administrativas da conta e permita explicitamente acesso direto aos recursos que os aplicativos do Amplify exigem para implantar, criar e gerenciar back-ends.

Para criar um perfil de serviço

Faça login no console do IAM e escolha Perfis na barra de navegação à esquerda e escolha Criar perfil.
Na página Selecionar tipo de entidade confiável, escolha Serviço da AWS . Em Caso de uso, selecione Amplificar e, em seguida, escolha Avançar.
Na página Adicionar permissões, escolha Próximo.
Na página Nome, visualização e criação, em Nome da função, insira um nome significativo, comoAmplifyConsoleServiceRole-AmplifyRole.
Aceite todos os padrões e escolha Criar função.
Volte ao console do Amplify para anexar a função ao seu aplicativo.
- Se você estiver no processo de implantação de um novo aplicativo
  1. Atualize a lista de funções de serviço.
  2. Selecione a função que você acabou de criar. Para este exemplo, deve ser semelhante a AmplifyConsoleServiceRole- AmplifyRole
  3. Escolha Avançar e siga as etapas para concluir a implantação do aplicativo.
- Se você tiver um aplicativo existente
  1. No painel de navegação, escolha Configurações do aplicativo e, em seguida, Configurações gerais.
  2. Na página Configurações gerais, escolha Editar.
  3. Na página Editar configurações gerais, selecione a função que você acabou de criar na lista de funções de serviço.
  4. Escolha Salvar.
O console do Amplify agora tem permissões para implantar recursos de back-end para seu aplicativo.

Prevenção do problema do “confused deputy”

O problema do “confused deputy” é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Para ter mais informações, consulte Prevenção do problema do substituto confuso entre serviços.

Atualmente, a política de confiança padrão para o Amplify-Backend Deployment perfil de serviço impõe aws:SourceArn e aws:SourceAccount chaves de condição de contexto global para prevenir o problema do “confused deputy”. No entanto, se você já criou uma função Amplify-Backend Deployment em sua conta, pode atualizar a política de confiança do perfil para adicionar essas condições para se proteger contra o “confused deputy”.

Use o exemplo a seguir para restringir o acesso aos aplicativos em sua conta. Substitua a região e o ID do aplicativo no exemplo por suas próprias informações.


"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

Para obter instruções sobre como editar a política de confiança de uma função usando o AWS Management Console, consulte Modificar uma função (console) no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Compilações personalizadas

Gerenciar desempenho do aplicativo