Menambahkan peran layanan dengan izin untuk menyebarkan sumber daya backend - AWS AmplifyHosting
Membuat peran layanan Amplify di konsol IAMMengedit kebijakan kepercayaan peran layanan untuk mencegah wakil yang bingung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan peran layanan dengan izin untuk menyebarkan sumber daya backend

Amplify memerlukan izin untuk menerapkan sumber daya backend dengan front end Anda. Anda menggunakan peran layanan untuk mendapatkan izin tersebut. Peran layanan adalah peran AWS Identity and Access Management (IAM) yang menyediakan Amplify Hosting dengan izin untuk menyebarkan, membuat, dan mengelola backend atas nama Anda.

Saat membuat aplikasi baru yang memerlukan peran layanan IAM, Anda dapat mengizinkan Amplify Hosting untuk secara otomatis membuat peran layanan untuk Anda atau Anda dapat memilih peran IAM yang telah Anda buat. Di bagian ini, Anda akan mempelajari cara membuat peran layanan Amplify yang memiliki izin administratif akun dan eksplisit memungkinkan akses langsung ke sumber daya yang diperlukan aplikasi Amplify untuk menyebarkan, membuat, dan mengelola backend.

Membuat peran layanan Amplify di konsol IAM

Membuat peran layanan

  1. Buka konsol IAM dan pilih Peran dari bilah navigasi kiri, lalu pilih Buat peran.

  2. Pada halaman Pilih entitas tepercaya, pilih AWSlayanan. Untuk kasus Penggunaan, pilih Amplify - Deployment Backend, lalu pilih Berikutnya.

  3. Pada halaman Tambahkan izin, pilih Berikutnya.

  4. Pada halaman Nama, tampilan, dan buat, untuk nama Peran masukkan nama yang bermakna, sepertiAmplifyConsoleServiceRole-AmplifyRole.

  5. Terima semua default dan pilih Buat peran.

  6. Kembali ke konsol Amplify untuk melampirkan peran ke aplikasi Anda.

    • Jika Anda sedang dalam proses menerapkan aplikasi baru, lakukan hal berikut:

      1. Segarkan daftar peran layanan.

      2. Pilih peran yang baru saja Anda buat. Untuk contoh ini, seharusnya terlihat seperti AmplifyConsoleServiceRole- AmplifyRole.

      3. Pilih Berikutnya dan ikuti langkah-langkah untuk menyelesaikan penerapan aplikasi Anda.

    • Jika Anda memiliki aplikasi yang sudah ada, lakukan hal berikut:

      1. Di panel navigasi, pilih Pengaturan aplikasi, lalu pilih peran IAM.

      2. Pada halaman peran IAM, di bagian Peran layanan, pilih Edit.

      3. Pada halaman peran Layanan, pilih peran yang baru saja Anda buat dari daftar peran Layanan.

      4. Pilih Simpan.

  7. Amplify sekarang memiliki izin untuk menerapkan resource backend untuk aplikasi Anda.

Mengedit kebijakan kepercayaan peran layanan untuk mencegah wakil yang bingung

Masalah "confused deputy" adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memengaruhi entitas yang memiliki hak akses lebih tinggi untuk melakukan tindakan. Untuk informasi selengkapnya, lihat Pencegahan "confused deputy" lintas layanan.

Saat ini, kebijakan kepercayaan default untuk peran Amplify-Backend Deployment layanan memberlakukan kunci kondisi konteks aws:SourceAccount global aws:SourceArn dan untuk mencegah deputi yang bingung. Namun, jika sebelumnya Anda membuat Amplify-Backend Deployment peran di akun Anda, Anda dapat memperbarui kebijakan kepercayaan peran untuk menambahkan kondisi ini untuk melindungi dari wakil yang bingung.

Gunakan contoh berikut untuk membatasi akses ke aplikasi di akun Anda. Ganti Wilayah dan ID aplikasi dalam contoh dengan informasi Anda sendiri.

"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

Untuk petunjuk cara mengedit kebijakan kepercayaan untuk peran yang menggunakanKonsol Manajemen AWS, lihat Memodifikasi peran (konsol) di Panduan Pengguna IAM.