As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Adição de um perfil de serviço com permissões para implantar recursos de backend
O Amplify exige permissões para implantar recursos do backend com o frontend. Você usa um perfil de serviço para fazer isso. Uma função de serviço é a função AWS Identity and Access Management (IAM) que fornece ao Amplify Hosting permissões para implantar, criar e gerenciar back-ends em seu nome.
Quando você cria uma nova aplicação que exige um perfil de serviço do IAM, é possível permitir que o Amplify Hosting crie automaticamente um perfil de serviço para você, ou é possível selecionar um perfil do IAM que já tenha criado. Nesta seção, você criará um perfil de serviço do Amplify que tenha permissões administrativas da conta e permita explicitamente acesso direto aos recursos que as aplicações do Amplify exigem para implantar, criar e gerenciar backends.
## Para criar um perfil de serviço do Amplify no console do IAM
**Para criar um perfil de serviço**
1. [Faça login no console do IAM](https://console.aws.amazon.com/iam/home?#/roles) e escolha **Perfis** na barra de navegação à esquerda e escolha **Criar perfil**.
1. Na página **Selecionar tipo de entidade confiável**, escolha **Serviço da AWS **. Em **Caso de uso**, selecione **Amplify - Implantação de backend** e, em seguida, **Próximo**.
1. Na página **Adicionar permissões**, escolha **Próximo**.
1. Na página **Nomear, visualizar e criar**, em **Nome do perfil**, insira um nome significativo, como **AmplifyConsoleServiceRole-AmplifyRole**.
1. Aceite todos os padrões e escolha **Criar perfil**.
1. Volte ao console do Amplify para anexar o perfil à sua aplicação.
+ Se você estiver no processo de implantação de uma nova aplicação, faça o seguinte:
1. Atualize a lista de perfis de serviço.
1. Escolha o perfil que você acabou de criar. Para este exemplo, deve ser semelhante a **AmplifyConsoleServiceRole- AmplifyRole**.
1. Escolha **Próximo** e siga as etapas para concluir a implantação da sua aplicação.
+ Se você já tiver uma aplicação existente, faça o seguinte:
1. No painel de navegação, escolha **Configurações da aplicação**, e, a seguir, escolha **Perfis do IAM**.
1. Na página **Perfis do IAM**, na seção **Perfil de serviço**, escolha **Editar**.
1. Na página **Perfil de serviço**, selecione o perfil que você acabou de criar na lista **Perfil de serviço**.
1. Escolha **Salvar**.
1. Agora o Amplify tem permissões para implantar recursos do backend na sua aplicação.
## Edição da política de confiança de um perfil de serviço para evitar o representante confuso
O problema do “confused deputy” é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Para obter mais informações, consulte [Prevenção do problema "confused deputy" entre serviços](cross-service-confused-deputy-prevention.md).
Atualmente, a política de confiança padrão para o `Amplify-Backend Deployment` perfil de serviço impõe `aws:SourceArn` e `aws:SourceAccount` chaves de condição de contexto global para prevenir o problema do “confused deputy”. No entanto, se você já criou um perfil `Amplify-Backend Deployment` em sua conta, pode atualizar a política de confiança do perfil para adicionar essas condições para se proteger contra o "confused deputy".
Use o exemplo a seguir para restringir o acesso aos aplicativos em sua conta. Substitua a região e o ID da aplicação no exemplo por suas próprias informações.
```
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:amplify:{{us-east-1}}:{{123456789012}}:apps/*"
},
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
}
}
```
Para obter instruções sobre como editar a política de confiança de uma função usando o Console de gerenciamento da AWS, consulte [Modificar uma função (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html) no *Guia do usuário do IAM*.