Agregación de un rol de SSR Compute para permitir el acceso a los recursos de AWS - AWS AmplifyHospedaje
Creación de un rol de SSR Compute en la consola de IAMAgregación de un rol de SSR Compute de IAM a una aplicación de AmplifyAdministración de la seguridad del rol de SSR Compute de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Agregación de un rol de SSR Compute para permitir el acceso a los recursos de AWS

Esta integración permite asignar un rol de IAM al servicio SSR Compute de Amplify para permitir que su aplicación renderizada en el lado del servidor (SSR) acceda de forma segura a recursos de AWS específicos en función de los permisos del rol. Por ejemplo, puedes permitir que las funciones informáticas SSR de tu aplicación accedan de forma segura a otros AWS servicios o recursos, como Amazon Bedrock un bucket de Amazon S3, en función de los permisos definidos en la función de IAM asignada.

El rol SSR Compute de IAM proporciona credenciales temporales, lo que elimina la necesidad de codificar credenciales de seguridad de larga duración en las variables de entorno. El uso de la función SSR Compute de IAM se ajusta a las mejores prácticas de AWS seguridad, que consisten en conceder permisos con privilegios mínimos y utilizar credenciales de corta duración siempre que sea posible.

Las instrucciones que aparecen más adelante en esta sección describen cómo crear una política con permisos personalizados y cómo adjuntarla a un rol. Al crear el rol, debe adjuntar una política de confianza personalizada que dé permiso a Amplify para asumir dicho rol. Si la relación de confianza no está definida correctamente, aparecerá un error al intentar agregar el rol. La siguiente política de confianza personalizada concede permiso a Amplify para asumir el rol.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "amplify.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Puede asociar una función de IAM suya Cuenta de AWS a una aplicación SSR existente mediante la consola Amplify o la. AWS SDKs AWS CLI El rol que adjuntas se asocia automáticamente al servicio de cómputo Amplify SSR, lo que le otorga los permisos que especifiques para acceder a otros recursos. AWS A medida que las necesidades de la aplicación cambien con el tiempo, puede modificar el rol de IAM asociado sin tener que volver a implementar la aplicación. Esto proporciona flexibilidad y reduce el tiempo de inactividad de las aplicaciones.

importante

La configuración de la aplicación para satisfacer sus objetivos de seguridad y conformidad es responsabilidad de usted. Esto incluye administrar su rol de SSR Compute, que debe configurarse para tener el conjunto mínimo de permisos necesarios para su caso de uso. Para obtener más información, consulte Administración de la seguridad del rol de SSR Compute de IAM.

Creación de un rol de SSR Compute en la consola de IAM

Antes de poder asociar un rol de SSR Compute de IAM a una aplicación de Amplify, el rol debe existir ya en su Cuenta de AWS. En esta sección, aprenderá a crear una política de IAM y a asociarla a un rol que Amplify pueda asumir para acceder a recursos de AWS específicos.

Le recomendamos que siga la práctica AWS recomendada de conceder permisos con privilegios mínimos al crear un rol de IAM. El rol de SSR Compute de IAM solo se invoca desde funciones de cómputo de SSR y, por lo tanto, solo debe conceder los permisos necesarios para ejecutar el código.

Puede usarConsola de administración de AWS, o para crear AWS CLI políticas en SDKs IAM. Para obtener más información, consulte Definición de permisos de IAM personalizados con políticas administradas por el cliente en la Guía del usuario de IAM.

Las siguientes instrucciones muestran cómo utilizar la consola de IAM para crear una política de IAM que defina los permisos que se van a conceder al servicio de Amplify Compute.

Para usar el editor de política de JSON de la consola de IAM para la creación de una política

  1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación de la izquierda, elija Políticas.

  3. Elija Crear política.

  4. En la sección Editor de políticas, seleccione la opción JSON.

  5. Escriba o pegue un documento de política de JSON.

  6. Cuando haya terminado de agregar permisos a la política, seleccione Siguiente.

  7. En la página Revisar y crear, escriba el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para ver los permisos que concede la política.

  8. Elija Crear política para guardar la nueva política.

Una vez que haya creado una política, siga las instrucciones a continuación para asociarla con un rol de IAM.

Cómo crear un rol que conceda permisos de Amplify a recursos específicos de AWS

  1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación de la consola, elija Roles y, a continuación, seleccione Crear rol.

  3. Elija el tipo de rol Custom trust policy (Política de confianza personalizada).

  4. En la sección Política de confianza personalizada, ingrese la política de confianza personalizada para el rol. Se requiere una política de confianza de rol, y definr las entidades principales en las que confía para asumir el rol.

    Copie y pegue la siguiente política de confianza para conceder permiso de servicio a Amplify para asumir este rol.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "amplify.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  5. Resuelva las advertencias de seguridad, errores o advertencias generales surgidos durante la validación de política y luego seleccione Siguiente.

  6. En la página Agregar permisos, busque mediante el nombre de la política que creó en el procedimiento anterior y selecciónela. A continuación, elija Siguiente.

  7. En Nombre de rol, ingrese un nombre de rol. Los nombres de los roles deben ser únicos dentro de su. Cuenta de AWS No se distingue por caso. Por ejemplo, no puede crear funciones denominado tanto PRODROLE como prodrole. Como otros AWS recursos pueden hacer referencia al rol, no puede editar el nombre del rol una vez creado.

  8. (Opcional) En Descripción, ingrese una descripción para el nuevo rol.

  9. (Opcional) Seleccione Editar en las secciones Paso 1: seleccionar entidades de confianza o Paso 2: agregar permisos para modificar la política personalizada y los permisos del rol.

  10. Revise el rol y, a continuación, seleccione Crear rol.

Agregación de un rol de SSR Compute de IAM a una aplicación de Amplify

Una vez que hayas creado un rol de IAM en tuCuenta de AWS, puedes asociarlo a una aplicación en la consola de Amplify.

Para agregar un rol de SSR Compute de IAM a una aplicación de Amplify

  1. Inicie sesión en la consola Amplify Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/amplify/

  2. En la página Todas las aplicaciones, elija el nombre de la aplicación a la que desee añadir un rol de Compute.

  3. En el panel de navegación, elija Configuración de la aplicación y, luego, elija Roles de IAM.

  4. En la sección Rol de Compute, seleccione Editar.

  5. En la lista de Roles predeterminados, busque el nombre del rol que desea adjuntar y selecciónelo. Para este ejemplo, puede elegir el nombre del rol que creó en el procedimiento anterior. De forma predeterminada, el rol que seleccione se asociará a todas las ramificaciones de la aplicación.

    Si la relación de confianza del rol no está definida correctamente, aparecerá un error y no podrá agregar el rol.

  6. (Opcional) Si la aplicación se encuentra en un repositorio público y utiliza la creación automática de ramificaciones o tiene habilitadas las vistas previas web para las solicitudes de extracción, no se recomienda usar un rol a nivel de aplicación. En su lugar, asocie el rol de Compute únicamente a las ramificaciones que requieran acceso a recursos específicos. Para anular el comportamiento predeterminado a nivel de aplicación y asignar un rol a una ramificación específica, haga lo siguiente:

    1. Para Ramificación, seleccione el nombre de la ramificación que desea usar.

    2. Para Rol de Compute, seleccione el nombre del rol que desea asociar a la ramificación.

  7. Elija Guardar.

Administración de la seguridad del rol de SSR Compute de IAM

La seguridad es una responsabilidad compartida entre usted AWS y usted. La configuración de la aplicación para satisfacer sus objetivos de seguridad y conformidad es responsabilidad de usted. Esto incluye administrar su rol de SSR Compute, que debe configurarse para tener el conjunto mínimo de permisos necesarios para su caso de uso. Las credenciales para el rol de SSR Compute que especifique están disponibles de forma inmediata en el tiempo de ejecución de la función SSR. Si el código SSR expone estas credenciales, ya sea de forma intencionada, debido a un error o al permitir la ejecución remota de código (RCE), un usuario no autorizado puede acceder a la función SSR y a sus permisos.

Cuando una aplicación en un repositorio público utiliza un rol de SSR Compute y la creación automática de ramificaciones o vistas previas web para las solicitudes de extracción, debe gestionar cuidadosamente qué ramificaciones pueden acceder a esa función. Se recomienda que no utilice un rol a nivel de aplicación. En su lugar, se debe asignar un rol de Compute a nivel de ramificación. Esto permite conceder permisos solo a las ramificaciones que requieren acceso a recursos específicos.

Si las credenciales de su rol están expuestas, lleve a cabo las siguientes acciones para eliminar todo acceso a las credenciales del rol.

  1. Revocación de todas las sesiones

    Para obtener instrucciones sobre cómo revocar inmediatamente todos los permisos de las credenciales del rol, consulte Revocación de las credenciales de seguridad temporales de un rol de IAM.

  2. Eliminar el rol de la consola de Amplify

    Esta acción entra en vigor de forma inmediata. No es necesario volver a implementar la aplicación.

Para eliminar un rol de Compute en la consola de Amplify

  1. Inicie sesión en la consola Amplify Consola de administración de AWS y ábrala en. https://console.aws.amazon.com/amplify/

  2. En la página Todas las aplicaciones, elija el nombre de la aplicación de la que se quiere eliminar el rol de Compute.

  3. En el panel de navegación, elija Configuración de la aplicación y, luego, elija Roles de IAM.

  4. En la sección Rol de Compute, seleccione Editar.

  5. Para eliminar el rol predeterminado, seleccione la X situada a la derecha del nombre del rol.

  6. Seleccione Save.