As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Limitando o acesso do agente em uma conta AWS
AWS DevOps O agente usa funções do IAM para descobrir e descrever AWS recursos durante investigações de incidentes e avaliações preventivas. Você pode controlar o nível de acesso que o agente tem configurando as políticas do IAM anexadas a essas funções. A topologia do aplicativo não mostra tudo ao qual o agente tem acesso — as políticas do IAM são a única maneira de realmente limitar quais AWS serviços APIs e recursos o agente pode acessar.
## Entendendo as funções do IAM para o AWS DevOps agente
AWS DevOps O agente usa funções do IAM para acessar recursos em dois tipos de contas:
+ **Função principal da conta** — concede ao agente acesso aos recursos na AWS conta em que você criou o Espaço do Agente.
+ **Funções secundárias da conta** — concede ao agente acesso aos recursos em AWS contas adicionais que você conecta ao Espaço do Agente.
Para qualquer tipo de conta, você pode restringir quais AWS serviços o agente pode acessar, limitar o acesso a recursos específicos dentro desses serviços e controlar em quais regiões o agente pode operar.
## Escolhendo seus limites de recursos
Ao limitar o acesso aos recursos, você precisa incluir permissões suficientes para que o agente investigue com êxito os incidentes do aplicativo. Isso inclui:
+ Todos os recursos para aplicativos dentro do escopo que o agente deve monitorar e investigar
+ Toda a infraestrutura de suporte da qual esses aplicativos dependem
A infraestrutura de suporte pode incluir:
+ Componentes de rede (sub-redesVPCs, balanceadores de carga, gateways de API)
+ Armazenamentos de dados (bancos de dados, caches, armazenamento de objetos)
+ Recursos computacionais (instâncias do EC2, funções Lambda, contêineres)
+ Serviços de monitoramento e registro (CloudWatch, CloudTrail)
+ Recursos de gerenciamento de identidade e acesso necessários para entender as permissões
Se você restringir o acesso de forma muito restrita, talvez o agente não consiga identificar as causas-raiz que se originam na infraestrutura de suporte fora dos limites definidos.
## Restringindo o acesso ao serviço
Você pode limitar quais AWS serviços o agente pode acessar modificando as políticas do IAM anexadas às funções do agente. Ao criar políticas personalizadas, siga estas melhores práticas:
+ **Conceda somente permissões de leitura** — O agente precisa ler as configurações, métricas e registros dos recursos durante as investigações. Evite conceder permissões que permitam ao agente modificar ou excluir recursos.
+ **Limite aos serviços necessários** — inclua somente AWS os serviços que contêm recursos relevantes para seus aplicativos. Por exemplo, se seu aplicativo não usa o Amazon RDS, não inclua as permissões do RDS na política.
+ **Use ações específicas em vez de curingas** — em vez de conceder `service:*` permissões, especifique ações individuais, como ou`cloudwatch:GetMetricData`. `ec2:DescribeInstances`
Exemplo de política de restrição a serviços específicos:
```
json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:DescribeAlarms",
"logs:GetLogEvents",
"logs:FilterLogEvents",
"ec2:DescribeInstances",
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "*"
}
]
}
```
## Restringindo o acesso a recursos
Para limitar o agente a recursos específicos em um serviço, use permissões em nível de recurso em suas políticas do IAM. Isso permite que você conceda acesso somente a recursos que correspondam a padrões específicos.
**Usando padrões de ARN de recursos:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration"
],
"Resource": "arn:aws:lambda:*:*:function:production-*"
}
]
}
```
Este exemplo limita o agente a acessar somente funções do Lambda com nomes que começam com “production-”.
**Usando restrições baseadas em tags:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "production"
}
}
}
]
}
```
Este exemplo limita o agente a acessar somente instâncias do EC2 marcadas com`Environment=production`.
## Restringindo o acesso regional
Para limitar quais AWS regiões o agente pode acessar, use a chave de `aws:RequestedRegion` condição em suas políticas do IAM:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"lambda:Get*",
"cloudwatch:Get*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"us-east-1",
"us-west-2"
]
}
}
}
]
}
```
Este exemplo limita o agente a acessar recursos somente nas regiões us-east-1 e us-west-2.
## Criação de políticas personalizadas do IAM
Ao criar um Agent Space ou adicionar contas secundárias, você tem a opção de criar uma função personalizada do IAM usando um modelo de política. Isso permite que você implemente o princípio do menor privilégio.
**Ao criar um Espaço do Agente**
No console do DevOps agente no console AWS de gerenciamento...
+ Escolha **Criar uma nova função de DevOps agente usando um documento de política** e siga as instruções
**Ao editar um Espaço do Agente**
No console do DevOps agente no console AWS de gerenciamento...
+ Selecione a guia **Capacidades**
+ Selecione a conta secundária que você deseja editar **na seção Nuvem** e clique em Editar
+ Escolha **Criar uma nova política de DevOps agente usando um modelo** e siga as instruções
## Práticas recomendadas de políticas personalizadas
+ **Conceda permissões somente de leitura — evite permissões** que permitam a modificação ou exclusão de recursos
+ **Use permissões em nível de recurso quando possível** — restrinja o acesso a recursos específicos usando padrões ou tags de ARN
+ **Revise e audite regularmente as permissões** — revise periodicamente as políticas de IAM do agente para garantir que elas ainda estejam alinhadas aos seus requisitos de segurança