Adição de um perfil do SSR Compute para permitir o acesso ao tópico de recursos da AWS - AWS Amplify Hospedagem
Criação de um perfil SSR Compute no console do IAMAdição de um perfil do IAM SSR Compute a uma aplicação do AmplifyGerenciamento da segurança do perfil SSR Compute do IAM

Adição de um perfil do SSR Compute para permitir o acesso ao tópico de recursos da AWS

Essa integração permite atribuir um perfil do IAM ao serviço SSR Compute do Amplify para permitir que sua aplicação renderizada do lado do servidor (SSR) acesse com segurança recursos específicos da AWS com as permissões do perfil Por exemplo, é possível permitir que as funções de computação de SSR da sua aplicação acessem com segurança outros serviços ou recursos da AWS, como o Amazon Bedrock ou um bucket do Amazon S3, com base nas permissões definidas no perfil do IAM atribuído.

O perfil do IAM SSR Compute fornece credenciais temporárias, eliminando a necessidade de codificar credenciais de segurança de longa duração em variáveis de ambiente. O uso do perfil do IAM SSR Compute se alinha às práticas recomendadas de segurança da AWS de conceder permissões de privilégio mínimo e usar credenciais de curto prazo quando possível.

As instruções mais adiante nesta seção descrevem como criar uma política com permissões personalizadas e anexar a política a um perfil. Ao criar o perfil, será necessário anexar uma política de confiança personalizada que dê permissão ao Amplify para assumir o perfil. Se a relação de confiança não estiver definida corretamente, você receberá um erro ao tentar adicionar o perfil. A política de confiança personalizada a seguir concede ao Amplify a permissão de assumir o perfil.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "amplify.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

É possível associar um perfil do IAM em sua Conta da AWS a uma aplicação de SSR existente usando o console do Amplify, SDKs da AWS ou a AWS CLI. O perfil que você anexa é associado automaticamente ao serviço de computação de SSR do Amplify, concedendo a ele as permissões que você especifica para acessar outros recursos da AWS. Como as necessidades da sua aplicação mudam com o tempo, é possível modificar o perfil do IAM anexado sem reimplantar sua aplicação. Isso proporciona flexibilidade e reduz o tempo de inatividade da aplicação.

Importante

Você é responsável por configurar a aplicação para atender aos seus objetivos de segurança e conformidade. Isso inclui gerenciar seu perfil SSR Compute, que deve ser configurado para ter o conjunto mínimo de permissões necessárias para dar suporte ao seu caso de uso. Para obter mais informações, consulte Gerenciamento da segurança do perfil SSR Compute do IAM.

Criação de um perfil SSR Compute no console do IAM

Antes de poder anexar um perfil do IAM SSR Compute a uma aplicação do Amplify, o perfil já deve existir na sua Conta da AWS. Nesta seção, você aprenderá como criar uma política do IAM e vinculá-la a um perfil que o Amplify pode assumir para acessar recursos específicos da AWS.

Recomendamos que você siga as práticas recomendadas da AWS de conceder permissões de privilégio mínimo ao criar um perfil do IAM. O perfil do IAM SSR Compute é chamado somente a partir das funções de computação de SSR e, portanto, só deve conceder as permissões necessárias para a execução do código.

É possível usar o Console de gerenciamento da AWS, a AWS CLI ou os SDKs para criar políticas no IAM. Para obter mais informações, consulte Definição de permissões personalizadas do IAM com políticas gerenciadas pelo cliente no Guia do usuário do IAM.

As instruções a seguir demonstram como usar o console do IAM para criar uma política do IAM que define as permissões a serem concedidas ao serviço Amplify Compute.

Para usar o editor de políticas JSON do console do IAM para criar uma política

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Criar política.

  4. Na seção Editor de políticas, escolha a opção JSON.

  5. Digite ou cole um documento de política JSON.

  6. Quando terminar de adicionar as permissões à política, escolha Avançar.

  7. Na página Revisar e criar, digite um nome de política e uma descrição (opcional) para a política que você está criando. Revise Permissões definidas nessa política para ver as permissões que são concedidas pela política.

  8. Escolha Criar política para salvar sua nova política.

Depois de criar uma política, use as instruções a seguir para anexar a política a um perfil do IAM.

Para criar um perfil que conceda permissões do Amplify a recursos específicos da AWS

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console, escolha Roles (Perfis) e, em seguida, clique em Create role (Criar perfil).

  3. Selecione o tipo de função Custom trust policy (Política de confiança personalizada).

  4. Na seção Política de confiança personalizada, insira a política de confiança personalizada para o perfil. Uma política de confiança de perfil é obrigatória, e define as entidades principais em que você confia para assumir o perfil.

    Copie e cole a política de confiança a seguir para conceder permissão ao serviço do Amplify para assumir esse perfil.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "amplify.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  5. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação da política e depois escolha Avançar.

  6. Na página Adicionar permissões, pesquise pelo nome da política criada no procedimento anterior e selecione-a. Escolha Próximo.

  7. Em Role name (Nome da função), insira um nome. Os nomes de função devem ser exclusivos em sua Conta da AWS. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, não é possível criar perfis denominados PRODROLE e prodrole. Como outros recursos de AWS podem fazer referência à função, não é possível editar o nome da função depois de ela ser criada.

  8. (Opcional) Em Description (Descrição), insira uma descrição para a nova função.

  9. (Opcional) Escolha Editar nas seções Etapa 1: selecionar entidades confiáveis ou Etapa 2: adicionar permissões para editar a política personalizada e as permissões do perfil.

  10. Revise a função e escolha Criar função.

Adição de um perfil do IAM SSR Compute a uma aplicação do Amplify

Depois de criar um perfil do IAM na sua Conta da AWS, será possível associá-lo a uma aplicação no console do Amplify.

Para adicionar um perfil SSR Compute a uma aplicação no console do Amplify

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amplify em https://console.aws.amazon.com/amplify/.

  2. Na página Todas as aplicações, escolha o nome da aplicação à qual adicionar um perfil Compute.

  3. No painel de navegação, escolha Configurações da aplicação, e, em seguida, escolha Perfis do IAM.

  4. Na seção Perfil Compute, escolha Editar.

  5. Na lista Perfil padrão, pesquise o nome do perfil que você deseja anexar e selecione-o. Neste exemplo, é possível escolher o nome do perfil que você criou no procedimento anterior. Por padrão, o perfil que você selecionar será associado a todas as ramificações da sua aplicação.

    Se a relação de confiança do perfil não estiver definida corretamente, você receberá um erro e não será capaz de adicionar o perfil.

  6. (opcional) se a sua aplicação estiver em um repositório público e usar a criação automática de ramificações ou tiver pré-visualizações na Web para solicitações de pull ativadas, não recomendamos o uso de um perfil no nível da aplicação. Em vez disso, atribua o perfil de computação somente às ramificações que exijam acesso a recursos específicos. Para substituir o comportamento padrão no nível da aplicação e anexar um perfil a uma ramificação específica, faça o seguinte:

    1. Em Ramificação, selecione o nome da ramificação a ser usada.

    2. Em Perfil Compute, selecione o nome do perfil a ser associado à ramificação.

  7. Escolha Salvar.

Gerenciamento da segurança do perfil SSR Compute do IAM

A segurança é uma responsabilidade compartilhada entre a AWS e você. Você é responsável por configurar a aplicação para atender aos seus objetivos de segurança e conformidade. Isso inclui gerenciar seu perfil SSR Compute, que deve ser configurado para ter o conjunto mínimo de permissões necessárias para dar suporte ao seu caso de uso. As credenciais para o perfil SSR Compute que você especifica estão imediatamente disponíveis no runtime da sua função de SSR. Se seu código de SSR expuser essas credenciais, intencionalmente, devido a um bug ou ao permitir a execução remota de código (RCE), um usuário não autorizado poderá obter acesso ao perfil de SSR e suas permissões.

Quando uma aplicação em um repositório público usa um perfil SSR Compute e a criação automática de ramificações ou pré-visualizações na Web para solicitações de pull, é necessário cuidadosamente quais ramificações podem acessar o perfil. Recomendamos que você não use um perfil no nível da aplicação. Em vez disso, é necessário anexar um perfil de computação no nível da ramificação. Isso permite que você conceda permissões somente às ramificações que exijam acesso a recursos específicos.

Se as credenciais do seu perfil estiverem expostas, execute as ações a seguir para remover todo o acesso às credenciais do perfil.

  1. Revogar todas as sessões

    Para obter instruções sobre como revogar imediatamente todas as permissões para as credenciais do perfil, consulte Revogação de credenciais de segurança temporárias de perfil do IAM.

  2. Exclua o perfil do console do Amplify

    Essa ação tem efeito imediato. Não é necessário reimplantar sua aplicação.

Para excluir um perfil do Compute no console do Amplify

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amplify em https://console.aws.amazon.com/amplify/.

  2. Na página Todas as aplicações, escolha o nome da aplicação da qual remover um perfil Compute.

  3. No painel de navegação, escolha Configurações da aplicação, e, em seguida, escolha Perfis do IAM.

  4. Na seção Perfil Compute, escolha Editar.

  5. Para excluir o Perfil padrão, escolha o X à direita do nome do perfil.

  6. Escolha Salvar.