Aviso de fim do suporte: em 10 de setembro de 2025, AWS
interromperá o suporte para AWS RoboMaker. Depois de 10 de setembro de 2025, você não poderá mais acessar o AWS RoboMaker console ou AWS RoboMaker os recursos. Para obter mais informações sobre como fazer a transição para ajudar AWS Batch a executar simulações em contêineres, visite esta postagem no blog.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Autenticação e controle de acesso para o AWS RoboMaker
AWS Identity and Access Management (IAM) é um AWS serviço que ajuda o administrador a controlar com segurança o acesso aos AWS RoboMaker recursos. Os administradores usam o IAM para controlar quem está autenticado (conectado) e autorizado (tem permissões) a usar AWS RoboMaker os recursos. O IAM é um recurso da sua AWS conta oferecido sem custo adicional.
Importante
Para começar a usar rapidamente, reveja as informações introdutórias nesta página e consulte Conceitos básicos do IAM e O que são políticas?.
Tópicos
Introdução à autorização e controle de acesso
AWS RoboMaker é integrado ao AWS Identity and Access Management (IAM), que oferece uma ampla variedade de recursos:
-
Crie usuários e grupos em seu Conta da AWS.
-
Compartilhe facilmente seus AWS recursos entre os usuários do seu Conta da AWS.
-
Atribuir credenciais de segurança exclusivas a cada usuário.
-
Controlar o acesso do usuário a serviços e recursos.
-
Obter uma única fatura para todos os usuários da sua Conta da AWS.
Para obter mais informações sobre IAM, consulte o seguinte:
Permissões obrigatórias
Para usar AWS RoboMaker ou gerenciar a autorização e o controle de acesso para você ou para outras pessoas, você deve ter as permissões corretas.
Permissões necessárias para usar o console do AWS RoboMaker
Para acessar o AWS RoboMaker console, você deve ter um conjunto mínimo de permissões que permita listar e visualizar detalhes sobre os AWS RoboMaker recursos em sua AWS conta. Se você criar uma política de permissões baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades com essa política.
Para acesso somente de leitura ao AWS RoboMaker console, use a AWSRoboMakerReadOnlyAccesspolítica.
Se um usuário do IAM desejar criar uma trabalho de simulação, você precisará conceder a permissão de iam:PassRole para esse usuário. Para obter mais informações sobre como passar uma função, consulte Conceder permissões ao usuário para passar uma função para um serviço da AWS.
Por exemplo, você pode anexar a política a seguir a um usuário. Ela fornece permissão para criar um trabalho de simulação:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/S3AndCloudWatchAccess" } ] }
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, são necessárias apenas as permissões que correspondem à operação da API que você está tentando executar.
Permissões necessárias para visualizar mundos AWS RoboMaker no console
Você pode conceder as permissões necessárias para visualizar AWS RoboMaker mundos no AWS RoboMaker console anexando a seguinte política a um usuário:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker: DescribeWorld" ], "Resource": "*", "Effect": "Allow" } ] }
Permissões necessárias para usar as ferramentas de simulação do AWS RoboMaker
O usuário ou perfil do IAM utilizado para criar a simulação receberá automaticamente a permissão para acessar as ferramentas de simulação. Caso esteja usando um usuário ou uma função diferente, o privilégio robomaker:CreateSimulationJob será necessário.
Permissões necessárias para o gerenciamento da autenticação
Para gerenciar suas próprias credenciais, como senha, chaves de acesso e dispositivos de autenticação multifator (MFA - Multi-factor Authentication), o administrador deve conceder a você as permissões necessárias. Para visualizar a política que inclui essas permissões, consulte Permitir que os usuários autogerenciem suas credenciais.
Como AWS administrador, você precisa de acesso total ao IAM para poder criar e gerenciar usuários, grupos, funções e políticas no IAM. Você deve usar a política AdministratorAccess
Atenção
Somente um usuário administrador deve ter acesso total AWS a. Quem tem essa política tem permissão para gerenciar completamente a autenticação e o controle de acesso, além de modificar todos os recursos da AWS. Para saber como criar esse usuário, consulte Criar seu usuário administrador do IAM.
Permissões necessárias para o controle de acesso
Se o administrador tiver lhe fornecido credenciais de usuário do IAM, ele terá anexado políticas a seu usuário do IAM para controlar os recursos que você acessa. Para visualizar as políticas anexadas ao seu usuário no AWS Management Console, você deve ter as seguintes permissões:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Se precisar de permissões adicionais, peça ao administrador para atualizar suas políticas para permitir acesso às ações de que você precisa.
Permissões necessárias para um trabalho de simulação
Quando você cia um trabalho de simulação, ele deve ter um perfil do IAM com as permissões a seguir.
-
Substitua
amzn-s3-demo-source-bucketpelo nome do bucket que contém os pacotes de aplicativo de robô e simulação. -
amzn-s3-demo-destination-bucketSubstitua para apontar para o bucket onde AWS RoboMaker gravará os arquivos de saída. -
Substitua
account#pelo número da sua conta.
Os trabalhos públicos de ECR exigem permissões separadas, como ecr-public:GetAuthorizationToken, sts:GetServiceBearerToken e quaisquer outras permissões necessárias para sua implementação final. Para obter mais informações, consulte Políticas de repositório público no Guia do usuário do Amazon ECR.
A política deve ser anexada a uma função com a seguinte política de confiança.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }
Você pode usar essa chave de condição para impedir que um produto da AWS seja usado como um confused deputy durante transações entre os serviços. Consulte SourceAccounte SourceArnpara obter informações adicionais sobre chaves de condição.
Permissões necessárias para usar tags de um aplicativo ROS ou linha de comando ROS
Você pode marcar, desmarcar e listar tags no trabalho de simulação usando a linha de comando ROS ou o aplicativo ROS enquanto ele estiver em execução. É necessário ter um perfil do IAM com as permissões abaixo. Substitua account# pelo número da sua conta.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker:TagResource", "robomaker:UntagResource", "robomaker:ListTagsForResource", ], "Resource": [ "arn:aws:robomaker:*:account#:simulation-job*" ], "Effect": "Allow" } ] }
A política deve ser anexada a uma função com a seguinte política de confiança:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }
Você pode usar essa chave de condição para impedir que um produto da AWS seja usado como um confused deputy durante transações entre os serviços. Consulte SourceAccounte SourceArnpara obter informações adicionais sobre chaves de condição.
Entendendo como AWS RoboMaker funciona com o IAM
Os serviços podem funcionar de várias maneiras com o IAM:
-
Ações — AWS RoboMaker suporta o uso de ações em uma política. Isso permite que um administrador controle se uma entidade pode concluir uma operação no AWS RoboMaker. Por exemplo, para permitir que uma entidade visualize uma política executando a operação da
GetPolicyAWS API, um administrador deve anexar uma política que permita aiam:GetPolicyação. -
Permissões no nível do recurso – o AWS RoboMaker não oferece suporte a permissões no nível do recurso. As permissões em nível de recurso permitem que você use ARNspara especificar recursos individuais na política. Como AWS RoboMaker não oferece suporte a esse recurso, você deve escolher Todos os recursos no editor visual de políticas. Em um documento de política JSON, use
*no elementoResource. -
Autorização baseada em tags – O AWS RoboMaker oferece suporte à autorização baseada em tags. Esse recurso permite que você use tags de recursos na condição de uma política.
-
Credenciais temporárias – O AWS RoboMaker não oferece suporte a credenciais temporárias. Esse atributo permite fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como AssumeRoleou GetFederationToken.
-
Funções vinculadas a serviços – O AWS RoboMaker suporta funções de serviço. Esse recurso permite que um serviço assuma uma função vinculada ao serviço em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções vinculadas ao serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
-
Funções de serviço – O AWS RoboMaker suporta funções de serviço. Esse atributo permite que um serviço assuma um perfil de serviço em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, isso pode alterar a funcionalidade do serviço.
Solução de problemas de autenticação e controle de acesso
Use as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o IAM.
Tópicos
Não estou autorizado a realizar uma ação em AWS RoboMaker
Se você receber um erro AWS Management Console informando que você não está autorizado a realizar uma ação, entre em contato com o administrador que forneceu seu nome de usuário e senha.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado my-user-name tenta usar o console para realizar a CreateRobotApplication ação, mas não tem permissões.
User: arn:aws:iam::123456789012:user/my-user-nameis not authorized to perform:aws-robomaker:CreateRobotApplicationon resource:my-example-robot-application
Para esse exemplo, peça ao administrador para atualizar suas políticas a fim de conceder acesso ao recurso my-example-robot-application usando a ação aws-robomaker:CreateRobotApplication.
Sou administrador e quero permitir que outras pessoas acessem AWS RoboMaker
Para permitir que outras pessoas acessem, AWS RoboMaker você deve criar uma entidade do IAM (usuário ou função) para a pessoa ou o aplicativo que precisa de acesso. Elas usarão as credenciais dessa entidade para acessar a AWS. Você deve anexar uma política à entidade que concede a eles as permissões corretas no AWS RoboMaker.
Para começar a usar rapidamente, consulte Conceitos básicos do IAM.
