As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Limitando o acesso do agente em um AWS Conta
AWS DevOps O agente usa funções do IAM para descobrir e descrever AWS recursos durante investigações de incidentes e avaliações preventivas. Você pode controlar o nível de acesso que o agente tem configurando as políticas do IAM anexadas a essas funções. A topologia do aplicativo não mostra tudo ao qual o agente tem acesso — as políticas do IAM são a única maneira de realmente limitar quais APIs e recursos AWS de serviço o agente pode acessar.
Entendendo as funções do IAM para AWS DevOps Agente
AWS DevOps O agente usa funções do IAM para acessar recursos em dois tipos de contas:
Função principal da conta — concede ao agente acesso aos recursos na AWS conta em que você criou o Espaço do Agente.
Funções secundárias da conta — concede ao agente acesso aos recursos em AWS contas adicionais que você conecta ao Espaço do Agente.
Para qualquer tipo de conta, você pode restringir quais AWS serviços o agente pode acessar, limitar o acesso a recursos específicos dentro desses serviços e controlar em quais regiões o agente pode operar.
Entendendo as barreiras de proteção de permissão
AWS DevOps O agente aplica uma proteção de permissão a cada sessão que cria ao acessar seus AWS recursos. Essa grade de proteção funciona como um teto — ela define o conjunto máximo de permissões que o agente pode usar, independentemente das permissões que você concede na função do IAM.
Como funciona
Quando o agente assume sua função do IAM, ele passa uma política de sessão que limita as permissões efetivas para essa sessão. As permissões efetivas são a interseção de:
Suas políticas de função do IAM — A política gerenciada e todas as políticas embutidas que você anexar à função.
A barreira de permissão — Uma política de sessão aplicada pelo AWS DevOps Agente no momento de assumir a função.
Uma permissão deve estar presente nas duas camadas para entrar em vigor. Se você adicionar uma permissão à sua função que não esteja incluída na grade de proteção, o agente não poderá usá-la.
Permissões padrão
A política AIDevOpsAgentAccessPolicy gerenciada fornece o conjunto padrão de permissões somente para leitura que o agente usa para investigações. Essas permissões estão incluídas na grade de proteção, portanto, funcionam sem configuração adicional.
Estendendo as permissões além do padrão
AWS DevOps O agente oferece suporte a um conjunto selecionado de permissões adicionais além da política gerenciada padrão. Essas permissões estão incluídas na grade de proteção, mas não são habilitadas por padrão. Para usá-las, adicione as permissões específicas à sua função como uma política embutida.
Por exemplo, para permitir que o agente leia objetos de seus buckets do S3 durante as investigações, adicione uma política embutida à sua função:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::my-application-bucket", "arn:aws:s3:::my-application-bucket/*" ] } ] }
Por s3:GetObject estar s3:ListBucket incluída na grade de proteção, essa política em linha entra em vigor. Você pode definir o escopo Resource de dois compartimentos específicos para seguir o princípio do menor privilégio.
Permissões adicionais suportadas
As permissões a seguir estão incluídas na grade de proteção e podem ser ativadas adicionando-as à sua função como uma política embutida. Eles não são concedidos por padrão — você deve se inscrever explicitamente.
| Serviço | Ações | Caso de uso |
|---|---|---|
| Amazon S3 | s3:GetObject, s3:ListBucket |
Leia dados, registros ou configurações do aplicativo armazenados no S3 |
| AWS Direct Connect | directconnect:DescribeConnections, directconnect:DescribeDirectConnectGatewayAssociations, directconnect:DescribeDirectConnectGateways, directconnect:DescribeLags, directconnect:DescribeVirtualInterfaces |
Investigue problemas de conectividade de rede |
Permissões bloqueadas pela grade de proteção
Se você adicionar uma permissão à sua função que não esteja na grade de proteção, o agente não poderá usá-la. Isso ocorre intencionalmente — a barreira impede que o agente execute ações fora do escopo pretendido, mesmo que a função as permitisse.
Por exemplo, operações de gravação como s3:PutObjectec2:TerminateInstances, ou não dynamodb:DeleteItem estão incluídas na grade de proteção. Mesmo que sua função conceda essas permissões, o agente não poderá realizar essas ações.
Resumo
| Camada | Quem controla isso | Finalidade |
|---|---|---|
| Políticas de função do IAM | You | Defina o que você pretende que o agente seja capaz de fazer |
| Guardrail de permissão | AWS DevOps Agente | Define o máximo que o agente pode fazer |
| Permissões efetivas | Interseção de ambos | O que o agente pode realmente fazer |
Esse modelo garante que o agente opere dentro de um limite de segurança bem definido, ao mesmo tempo em que oferece flexibilidade para ampliar seus recursos para seu caso de uso específico.
Escolhendo seus limites de recursos
Ao limitar o acesso aos recursos, você precisa incluir permissões suficientes para que o agente investigue com êxito os incidentes do aplicativo. Isso inclui:
Todos os recursos para aplicativos dentro do escopo que o agente deve monitorar e investigar
Toda a infraestrutura de suporte da qual esses aplicativos dependem
A infraestrutura de suporte pode incluir:
Componentes de rede (VPCs, sub-redes, balanceadores de carga, gateways de API)
Armazenamentos de dados (bancos de dados, caches, armazenamento de objetos)
Recursos computacionais (instâncias EC2, funções Lambda, contêineres)
Serviços de monitoramento e registro (CloudWatch, CloudTrail)
Recursos de gerenciamento de identidade e acesso necessários para entender as permissões
Se você restringir o acesso de forma muito restrita, talvez o agente não consiga identificar as causas-raiz que se originam na infraestrutura de suporte fora dos limites definidos.
Restringindo o acesso ao serviço
Você pode limitar quais AWS serviços o agente pode acessar modificando as políticas do IAM anexadas às funções do agente. Ao criar políticas personalizadas, siga estas melhores práticas:
Conceda somente permissões de leitura — O agente precisa ler as configurações, métricas e registros dos recursos durante as investigações. Evite conceder permissões que permitam ao agente modificar ou excluir recursos.
Limite aos serviços necessários — inclua somente AWS os serviços que contêm recursos relevantes para seus aplicativos. Por exemplo, se seu aplicativo não usa o Amazon RDS, não inclua as permissões do RDS na política.
Use ações específicas em vez de curingas — em vez de conceder
service:*permissões, especifique ações individuais, como oucloudwatch:GetMetricData.ec2:DescribeInstances
Exemplo de política de restrição a serviços específicos:
json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarms", "logs:GetLogEvents", "logs:FilterLogEvents", "ec2:DescribeInstances", "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "*" } ] }
Restringindo o acesso aos recursos
Para limitar o agente a recursos específicos em um serviço, use permissões em nível de recurso em suas políticas do IAM. Isso permite que você conceda acesso somente a recursos que correspondam a padrões específicos.
Usando padrões de ARN de recursos:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:GetFunction", "lambda:GetFunctionConfiguration" ], "Resource": "arn:aws:lambda:*:*:function:production-*" } ] }
Este exemplo limita o agente a acessar somente funções do Lambda com nomes que começam com “production-”.
Usando restrições baseadas em tags:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Environment": "production" } } } ] }
Este exemplo limita o agente a acessar somente instâncias do EC2 marcadas comEnvironment=production.
Restringindo o acesso regional
Para limitar quais AWS regiões o agente pode acessar, use a chave de aws:RequestedRegion condição em suas políticas do IAM:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:Describe*", "lambda:Get*", "cloudwatch:Get*" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "us-east-1", "us-west-2" ] } } } ] }
Este exemplo limita o agente a acessar recursos somente nas regiões us-east-1 e us-west-2.
Criação de políticas personalizadas do IAM
Ao criar um Agent Space ou adicionar contas secundárias, você tem a opção de criar uma função personalizada do IAM usando um modelo de política. Isso permite que você implemente o princípio do menor privilégio.
Ao criar um Espaço do Agente
No console do DevOps agente no console AWS de gerenciamento...
Escolha Criar uma nova função de DevOps agente usando um documento de política e siga as instruções
Ao editar um Espaço do Agente
No console do DevOps agente no console AWS de gerenciamento...
Selecione a guia Capacidades
Selecione a conta secundária que você deseja editar na seção Nuvem e clique em Editar
Escolha Criar uma nova política de DevOps agente usando um modelo e siga as instruções.
Práticas recomendadas de políticas personalizadas
Conceda permissões somente de leitura — evite permissões que permitam a modificação ou exclusão de recursos
Use permissões em nível de recurso quando possível — restrinja o acesso a recursos específicos usando padrões ou tags de ARN
Revise e audite regularmente as permissões — revise periodicamente as políticas de IAM do agente para garantir que elas ainda estejam alinhadas aos seus requisitos de segurança
