Inscreva-se para um Conta da AWS Criar um usuário com acesso administrativo Conceder acesso programático (Recomendado) Configurar permissões para reversão automática

Conf AWS AppConfig iguração

Se você ainda não tiver feito isso, inscreva-se Conta da AWS e crie um usuário administrativo.

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

Para se inscrever em um Conta da AWS

Abra a https://portal.aws.amazon.com/billing/inscrição.
Siga as instruções online.

Parte do procedimento de inscrição envolve receber uma chamada telefônica e inserir um código de verificação no teclado do telefone.

Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário raiz tem acesso a todos os Serviços da AWS e atributos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.

AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, é possível visualizar as atividades da conta atual e gerenciar sua conta acessando https://aws.amazon.com/ e selecionando Minha conta.

Criar um usuário com acesso administrativo

Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS AWS IAM Identity Center, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.

Proteja seu Usuário raiz da conta da AWS

Faça login AWS Management Consolecomo proprietário da conta escolhendo Usuário raiz e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira sua senha.

Para obter ajuda ao fazer login usando o usuário raiz, consulte Fazer login como usuário raiz no Guia do usuário do Início de Sessão da AWS .
Ative a autenticação multifator (MFA) para seu usuário root.

Para obter instruções, consulte Habilitar um MFA dispositivo virtual para seu usuário Conta da AWS root (console) no Guia IAM do usuário.

Criar um usuário com acesso administrativo

Ative o IAM Identity Center.

Para obter instruções, consulte Habilitar AWS IAM Identity Center no Guia do usuário do AWS IAM Identity Center .
No IAM Identity Center, conceda acesso administrativo a um usuário.

Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM no Guia AWS IAM Identity Center do usuário.

Iniciar sessão como o usuário com acesso administrativo

Para entrar com seu usuário do IAM Identity Center, use o login URL que foi enviado ao seu endereço de e-mail quando você criou o usuário do IAM Identity Center.

Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como fazer login no portal de AWS acesso no Guia Início de Sessão da AWS do usuário.

Atribuir acesso a usuários adicionais

No IAM Identity Center, crie um conjunto de permissões que siga as melhores práticas de aplicação de permissões com privilégios mínimos.

Para obter instruções, consulte Create a permission set no Guia do usuário do AWS IAM Identity Center .
Atribua usuários a um grupo e, em seguida, atribua o acesso de autenticação única ao grupo.

Para obter instruções, consulte Add groups no Guia do usuário do AWS IAM Identity Center .

Conceder acesso programático

Os usuários precisam de acesso programático se quiserem interagir com pessoas AWS fora do AWS Management Console. A forma de conceder acesso programático depende do tipo de usuário que está acessando AWS.

Para conceder acesso programático aos usuários, selecione uma das seguintes opções:

Qual usuário precisa de acesso programático?	Para	Por
Identificação da força de trabalho (Usuários gerenciados no IAM Identity Center)	Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs	Siga as instruções da interface que deseja utilizar. Para o AWS CLI, consulte Configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário. Para AWS SDKs, ferramentas e AWS APIs, consulte Autenticação do IAM Identity Center no AWS SDKsGuia de referência de ferramentas.
IAM	Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs	Siga as instruções em Uso de credenciais temporárias com AWS recursos no Guia do IAM usuário.
IAM	(Não recomendado) Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs	Siga as instruções da interface que deseja utilizar. Para o AWS CLI, consulte Autenticação usando credenciais de IAM usuário no Guia do AWS Command Line Interface usuário. Para ferramentas AWS SDKs e ferramentas, consulte Autenticar usando credenciais de longo prazo no Guia de referência de ferramentas AWS SDKs e ferramentas. Para AWS APIs, consulte Gerenciamento de chaves de acesso para IAM usuários no Guia IAM do usuário.

Qual usuário precisa de acesso programático?

Para

Por

Identificação da força de trabalho

(Usuários gerenciados no IAM Identity Center)

Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs

Siga as instruções da interface que deseja utilizar.

Para o AWS CLI, consulte Configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário.
Para AWS SDKs, ferramentas e AWS APIs, consulte Autenticação do IAM Identity Center no AWS SDKsGuia de referência de ferramentas.

IAM

Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs

Siga as instruções em Uso de credenciais temporárias com AWS recursos no Guia do IAM usuário.

IAM

(Não recomendado)

Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs

Siga as instruções da interface que deseja utilizar.

Para o AWS CLI, consulte Autenticação usando credenciais de IAM usuário no Guia do AWS Command Line Interface usuário.
Para ferramentas AWS SDKs e ferramentas, consulte Autenticar usando credenciais de longo prazo no Guia de referência de ferramentas AWS SDKs e ferramentas.
Para AWS APIs, consulte Gerenciamento de chaves de acesso para IAM usuários no Guia IAM do usuário.

(Recomendado) Configurar permissões para reversão automática

Você pode configurar AWS AppConfig para reverter para uma versão anterior de uma configuração em resposta a um ou mais CloudWatch alarmes da Amazon. Ao configurar uma implantação para responder aos CloudWatch alarmes, você especifica uma função AWS Identity and Access Management (IAM). AWS AppConfig requer essa função para que possa monitorar CloudWatch os alarmes. Esse procedimento é opcional, mas altamente recomendado.

nota

A IAM função deve pertencer à conta corrente. Por padrão, só é AWS AppConfig possível monitorar alarmes de propriedade da conta corrente. Se você quiser configurar AWS AppConfig para reverter implantações em resposta às métricas de uma conta diferente, deverá configurar alarmes entre contas. Para obter mais informações, consulte CloudWatch Console multiregional entre contas no Guia CloudWatch do usuário da Amazon.

Use os procedimentos a seguir para criar uma IAM função que permita AWS AppConfig a reversão com base em CloudWatch alarmes. Esta seção inclui os seguintes procedimentos.

Etapa 1: criar a política de permissão para reversão com base em alarmes CloudWatch
Etapa 2: criar a IAM função para reversão com base em alarmes CloudWatch
Etapa 3: Adicionar uma relação de confiança

Etapa 1: criar a política de permissão para reversão com base em alarmes CloudWatch

Use o procedimento a seguir para criar uma IAM política que dê AWS AppConfig permissão para chamar a DescribeAlarms API ação.

Para criar uma política de IAM permissão para reversão com base em alarmes CloudWatch

Abra o IAM console em https://console.aws.amazon.com/iam/.
No painel de navegação, selecione Políticas e, em seguida, Criar política.
Na página Criar política, escolha a JSONguia.
Substitua o conteúdo padrão na JSON guia pela política de permissão a seguir e escolha Avançar: Tags.

nota
Para retornar informações sobre alarmes CloudWatch compostos, é necessário atribuir * permissões à DescribeAlarmsAPIoperação, conforme mostrado aqui. Você não pode retornar informações sobre alarmes compostos se DescribeAlarms tiver um escopo mais restrito.
```
{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "cloudwatch:DescribeAlarms"
                ],
                "Resource": "*"
            }
        ]
    }
```
Insira tags para essa função e escolha Next: Review (Próximo: revisão).
Na página Revisão, insira SSMCloudWatchAlarmDiscoveryPolicy no campo Nome.
Escolha Criar política. O sistema retorna para a página Policies (Políticas).

Etapa 2: criar a IAM função para reversão com base em alarmes CloudWatch

Use o procedimento a seguir para criar uma IAM função e atribuir a ela a política que você criou no procedimento anterior.

Para criar uma IAM função para reversão com base em alarmes CloudWatch

Abra o IAM console em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Roles e Create role.
Em Select type of trusted entity (Selecionar o tipo de entidade confiável), escolha AWS service (serviço).
Imediatamente em Escolha o serviço que usará essa função, escolha EC2: Permite que EC2 as instâncias chamem AWS serviços em seu nome e, em seguida, escolha Avançar: Permissões.
Na página Política de permissões anexadas, pesquise por SSMCloudWatchAlarmDiscoveryPolicy.
Selecione essa política e escolha Next: Tags (Próximo: tags).
Insira tags para essa função e escolha Next: Review (Próximo: revisão).
Na página Criar função, insira SSMCloudWatchAlarmDiscoveryRole no campo RNome da função e escolha Criar função.
Na página Roles (Funções), escolha a função recém-criada. A página Summary é aberta.

Etapa 3: Adicionar uma relação de confiança

Use o procedimento a seguir para configurar a função que você acabou de criar para confiar no AWS AppConfig.

Para adicionar uma relação de confiança para AWS AppConfig

Na página Summary da função que você acabou de criar, escolha a guia Trust Relationships e, em seguida, Edit Trust Relationship.

Edite a política para incluir somente “appconfig.amazonaws.com”, conforme mostrado no exemplo a seguir:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appconfig.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Escolha Update Trust Policy.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

O que AWS AppConfigé

Criando