Adição de um perfil de serviço com permissões para implantar recursos de backend - AWS Amplify Hospedagem
Para criar um perfil de serviço do Amplify no console do IAMEdição da política de confiança de um perfil de serviço para evitar o representante confuso

Adição de um perfil de serviço com permissões para implantar recursos de backend

O Amplify exige permissões para implantar recursos do backend com o frontend. Você usa um perfil de serviço para fazer isso. Um perfil de serviço é um perfil do AWS Identity and Access Management (IAM) que fornece ao Amplify Hosting as permissões de implantar, criar e gerenciar backends em seu nome.

Quando você cria uma nova aplicação que exige um perfil de serviço do IAM, é possível permitir que o Amplify Hosting crie automaticamente um perfil de serviço para você, ou é possível selecionar um perfil do IAM que já tenha criado. Nesta seção, você criará um perfil de serviço do Amplify que tenha permissões administrativas da conta e permita explicitamente acesso direto aos recursos que as aplicações do Amplify exigem para implantar, criar e gerenciar backends.

Para criar um perfil de serviço do Amplify no console do IAM

Para criar um perfil de serviço

  1. Faça login no console do IAM e escolha Perfis na barra de navegação à esquerda e escolha Criar perfil.

  2. Na página Selecionar tipo de entidade confiável, escolha Serviço da AWS. Em Caso de uso, selecione Amplify - Implantação de backend e, em seguida, Próximo.

  3. Na página Adicionar permissões, escolha Próximo.

  4. Na página Nomear, visualizar e criar, em Nome do perfil, insira um nome significativo, como AmplifyConsoleServiceRole-AmplifyRole.

  5. Aceite todos os padrões e escolha Criar perfil.

  6. Volte ao console do Amplify para anexar o perfil à sua aplicação.

    • Se você estiver no processo de implantação de uma nova aplicação, faça o seguinte:

      1. Atualize a lista de perfis de serviço.

      2. Escolha o perfil que você acabou de criar. Para este exemplo, isso deve ser semelhante a AmplifyConsoleServiceRole-AmplifyRole

      3. Escolha Próximo e siga as etapas para concluir a implantação da sua aplicação.

    • Se você já tiver uma aplicação existente, faça o seguinte:

      1. No painel de navegação, escolha Configurações da aplicação, e, a seguir, escolha Perfis do IAM.

      2. Na página Perfis do IAM, na seção Perfil de serviço, escolha Editar.

      3. Na página Perfil de serviço, selecione o perfil que você acabou de criar na lista Perfil de serviço.

      4. Escolha Salvar.

  7. Agora o Amplify tem permissões para implantar recursos do backend na sua aplicação.

Edição da política de confiança de um perfil de serviço para evitar o representante confuso

O problema do “confused deputy” é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Para obter mais informações, consulte Prevenção contra o problema de confused deputy entre serviços.

Atualmente, a política de confiança padrão para o Amplify-Backend Deployment perfil de serviço impõe aws:SourceArn e aws:SourceAccount chaves de condição de contexto global para prevenir o problema do “confused deputy”. No entanto, se você já criou um perfil Amplify-Backend Deployment em sua conta, pode atualizar a política de confiança do perfil para adicionar essas condições para se proteger contra o "confused deputy".

Use o exemplo a seguir para restringir o acesso aos aplicativos em sua conta. Substitua a região e o ID da aplicação no exemplo por suas próprias informações.

"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

Para obter instruções sobre como editar a política de confiança de um perfil usando oConsole de gerenciamento da AWS, consulte Modificar um perfil (console) no Guia do usuário do IAM.