Este é o Guia do desenvolvedor do AWS CDK v2. O CDK v1 antigo entrou em manutenção em 1º de junho de 2022 e encerrou o suporte em 1º de junho de 2023.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar e aplicar limites de permissões para o AWS CDK
Um limite de permissões é um atributo avançado do AWS Identity and Access Management (IAM) que pode ser usado para definir o máximo de permissões que uma entidade do IAM, como um usuário ou um perfil, pode ter. É possível usar limites de permissões para restringir as ações que as entidades do IAM podem realizar ao usar o kit de desenvolvimento em nuvem da AWS (CDK da AWS).
Para saber mais sobre limites de permissões, consulte Limites de permissões para identidades do IAM no Guia do Usuário do IAM.
Quando usar limites de permissões com o AWS CDK
Considere aplicar limites de permissões quando precisar impedir que os desenvolvedores em sua organização realizem determinadas ações com o AWS CDK. Por exemplo, se houver recursos específicos em seu ambiente da AWS que você não deseja que os desenvolvedores modifiquem, você pode criar e aplicar um limite de permissões.
Como aplicar limites de permissões com o AWS CDK
Criar o limite de permissões
Primeiro, você cria um limite de permissões usando uma política gerenciada pela AWS ou uma política gerenciada pelo cliente para definir o limite para uma entidade (usuário ou perfil) do IAM. Essa política limita o número máximo de permissões para o usuário ou o perfil. Para obter mais instruções sobre a criação de limites de permissões, consulte Limites de permissões para entidades do IAM no Guia do usuário do IAM.
Os limites de permissões definem o máximo de permissões que uma entidade do IAM pode ter, mas não concedem permissões sozinhas. É necessário usar limites de permissões com as políticas do IAM para limitar e conceder efetivamente as permissões adequadas para sua organização. Você também deve impedir que entidades do IAM consigam escapar dos limites que você definiu. Por exemplo, consulte Delegar responsabilidade a outras pessoas usando limites de permissões no Guia do usuário do IAM.
Aplique o limite de permissões durante o bootstrapping
Depois de criar o limite de permissões, é possível impô-lo ao AWS CDK ao aplicá-lo durante o bootstrapping.
Use a opção --custom-permissions-boundary e especifique o nome do limite de permissões a ser aplicado. Veja a seguir um exemplo que aplica um limite de permissões chamado cdk-permissions-boundary:
$ cdk bootstrap --custom-permissions-boundary <cdk-permissions-boundary>
Por padrão, o CDK usa o perfil do IAM CloudFormationExecutionRole, definido no modelo de bootstrapping, para receber permissões para realizar implantações. Ao aplicar o limite de permissões personalizado durante o bootstrapping, o limite de permissões é anexado a esse perfil. O limite de permissões definirá então as permissões máximas que podem ser executadas pelos desenvolvedores em sua organização ao usar o AWS CDK. Para saber mais sobre esse perfil, consulte Perfis do IAM criados durante o bootstrapping.
Quando você aplica limites de permissões desta forma, eles são aplicados ao ambiente específico que você inicializa. Para usar o mesmo limite de permissões em vários ambientes, você deve aplicar o limite de permissões para cada ambiente durante o bootstrapping. Você também pode aplicar limites de permissões diferentes para ambientes diferentes.
Saiba mais
Para obter mais informações sobre limites de permissões, consulte Quando e onde usar os limites de permissões do IAM
