Atualizar a política de confiança de um perfil
Para alterar quem pode assumir uma função, você deve modificar a política de confiança da função. Você não pode modificar a política de confiança para uma função vinculada a serviço.
Observações
-
Se um usuário for listado como principal em uma política de confiança da função, mas não puder assumir a função, verifique o limite de permissões do usuário. Se um limite de permissões for definido para o usuário, ele deverá permitir a ação
sts:AssumeRole. -
Para permitir que os usuários assumam novamente o perfil atual em uma sessão de perfil, especifique o ARN do perfil ou o ARN da Conta da AWS como entidade principal na política de confiança do perfil. Os Serviços da AWS que fornecem recursos computacionais, como o Amazon EC2, Amazon ECS, Amazon EKS e Lambda, fornecem credenciais temporárias e atualizam automaticamente essas credenciais. Isso garante que você tenha sempre um conjunto de credenciais válido. Nesses serviços, não é necessário assumir novamente a função atual para obter credenciais temporárias. Porém, se pretender passar tags de sessão ou uma política de sessão, você precisará assumir novamente a função atual.
Atualizar a política de confiança de um perfil (console)
Para alterar a política de confiança de um perfil no AWS Management Console
Faça login em AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação do console do IAM, escolha Perfis.
-
Na lista de funções em sua conta, escolha o nome da função que deseja modificar.
-
Escolha a guia Relacionamentos de confiança e, em seguida, escolha Editar política de confiança.
-
Edite a política de confiança, conforme necessário. Para adicionar outras entidades principais que podem assumir a função, especifique-as no elemento
Principal. Por exemplo, o fragmento de política a seguir mostra como fazer referência a duas Contas da AWS no elementoPrincipal:"Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação
sts:AssumeRole. Para obter mais informações, consulte o procedimento a seguir ou Conceder permissões a um usuário para alternar perfis.O trecho da política a seguir mostra como referenciar dois produtos da AWS no elemento
Principal:"Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] }, -
Ao concluir a edição da política de confiança, escolha Update policy(Atualizar política) para salvar as alterações.
Para obter mais informações sobre a estrutura e a sintaxe da política, consulte Políticas e permissões no AWS Identity and Access Management e Referência de elemento de política JSON do IAM.
Para permitir que os usuários em uma conta externa confiável usem a função (console)
Para obter mais informações e detalhes sobre esse procedimento, consulte Conceder permissões a um usuário para alternar perfis.
-
Faz login na Conta da AWS externa confiável.
-
Decida se deseja anexar as permissões a um usuário ou a um grupo. No painel de navegação do console do IAM, escolha Users (Usuários) ou Groups (Grupos) conforme o caso.
-
Escolha o nome do usuário ou do grupo ao qual você deseja conceder acesso e, em seguida, selecione a guia Permissões.
-
Execute um destes procedimentos:
-
Para editar uma política gerenciada pelo cliente, escolha o nome da política, escolha Editar política e, em seguida, selecione a guia JSON. Você não pode editar uma política AWS gerenciada. As políticas AWS gerenciadas são exibidas com o ícone da AWS (
). Para obter mais informações sobre a diferença entre políticas gerenciadas pela AWS e pelo cliente, consulte Políticas gerenciadas e em linha. -
Para editar uma política em linha, escolha a seta próxima ao nome da política e escolha Editar política.
-
-
No editor de políticas, adicione um novo elemento
Statementque especifica o seguinte:{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.
-
Siga os prompts na tela para terminar de editar a política.
Atualizar a política de confiança de um perfil (AWS CLI)
Você pode usar a AWS CLI para alterar quem pode assumir um perfil.
Como modificar uma política de confiança da função (AWS CLI)
-
(Opcional) Se você não souber o nome da função que deseja modificar, execute o seguinte comando para listar as funções em sua conta:
-
(Opcional) Para visualizar a política de confiança atual de uma função, execute o seguinte comando:
-
Para modificar as entidades principais confiáveis que podem acessar a função, crie um arquivo de texto com a política de confiança atualizada. É possível usar qualquer editor de texto para construir a política.
Por exemplo, a seguinte política de confiança mostra como fazer referência a duas Contas da AWS no elemento
Principal. Isso permite que os usuários de duas Contas da AWS separadas assumam esse perfil.Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação
sts:AssumeRole. Para obter mais informações, consulte o procedimento a seguir ou Conceder permissões a um usuário para alternar perfis. -
Para usar o arquivo que você acabou de criar para atualizar a política de confiança, execute o seguinte comando:
Para permitir que os usuários em uma conta externa confiável usem a função (AWS CLI)
Para obter mais informações e detalhes sobre esse procedimento, consulte Conceder permissões a um usuário para alternar perfis.
-
Crie um arquivo JSON que contenha uma política de permissões que concede permissões para assumir a função. Por exemplo, a seguinte política contém as permissões necessárias mínimas:
Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.
-
Execute o seguinte comando para carregar o arquivo JSON que contém a política de confiança para o IAM:
O resultado desse comando inclui o ARN da política. Anote esse ARN, pois você precisará dele em uma etapa posterior.
-
Decida qual usuário ou grupo ao qual anexar a política. Se você não souber o nome do usuário ou do grupo pretendido, use um dos seguintes comandos para listar os usuários ou os grupos em sua conta:
-
Use um dos seguintes comandos para anexar a política criada na etapa anterior ao usuário ou ao grupo:
Atualizar a política de confiança de um perfil (API da AWS)
Você pode usar a API da AWS para alterar quem pode assumir um perfil.
Como modificar a política de confiança de uma função (API da AWS)
-
(Opcional) Se você não souber o nome da função que deseja modificar, chame a seguinte operação para listar as funções em sua conta:
-
(Opcional) Para visualizar a política de confiança atual de uma função, chame a seguinte operação:
-
Para modificar as entidades principais confiáveis que podem acessar a função, crie um arquivo de texto com a política de confiança atualizada. É possível usar qualquer editor de texto para construir a política.
Por exemplo, a seguinte política de confiança mostra como fazer referência a duas Contas da AWS no elemento
Principal. Isso permite que os usuários de duas Contas da AWS separadas assumam esse perfil.Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação
sts:AssumeRole. Para obter mais informações, consulte o procedimento a seguir ou Conceder permissões a um usuário para alternar perfis. -
Para usar o arquivo que você acabou de criar para atualizar a política de confiança, chame a seguinte operação:
Para permitir que os usuários em uma conta externa confiável usem a função (API da AWS)
Para obter mais informações e detalhes sobre esse procedimento, consulte Conceder permissões a um usuário para alternar perfis.
-
Crie um arquivo JSON que contenha uma política de permissões que concede permissões para assumir a função. Por exemplo, a seguinte política contém as permissões necessárias mínimas:
Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.
-
Chame a seguinte operação para carregar o arquivo JSON que contém a política de confiança para o IAM:
O resultado dessa operação inclui o ARN da política. Anote esse ARN, pois você precisará dele em uma etapa posterior.
-
Decida qual usuário ou grupo ao qual anexar a política. Se você não souber o nome do usuário ou do grupo pretendido, chame uma das seguintes operações para listar os usuários ou os grupos em sua conta:
-
Chame uma das seguintes operações para anexar a política criada na etapa anterior ao usuário ou ao grupo:
