Usar funções vinculadas ao serviço do AWS RAM

O AWS Resource Access Manager utiliza perfis vinculados a serviço do AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente a um serviço do AWS RAM. As funções vinculadas a serviços são predefinidas pela AWS e incluem todas as permissões que o AWS RAM requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração do AWS RAM porque você não precisa adicionar as permissões necessárias manualmente. O AWS RAM define as permissões de suas funções vinculadas ao serviço e, a menos que definido em contrário, somente o AWS RAM pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Função vinculada a serviço. Escolha Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço no AWS RAM

O AWS RAM usa a função vinculada ao serviço chamada AWSServiceRoleForResourceAccessManager quando você ativa o compartilhamento com o AWS Organizations. Essa função concede permissões ao serviço AWS RAM para visualizar os detalhes da organização, como a lista de contas dos membros e em quais unidades organizacionais cada conta está.

Essa função vinculada ao serviço confia no seguinte serviço para assumir a função:

A política de permissões para essa função vinculada ao serviço chamada AWSResourceAccessManagerServiceRolePolicy e ela permite que o AWS RAM conclua as seguintes ações nos recursos especificados:

Para que uma entidade principal ative o AWS RAM compartilhamento em sua organização, essa entidade principal (uma entidade do IAM, por exemplo, um usuário, grupo ou perfil) deve ter permissão para criar uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de Função Vinculadas ao Serviço no Guia do Usuário do IAM.

Como criar uma função vinculada ao serviço no AWS RAM

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa o compartilhamento do AWS RAM dentro da sua organização no Console de gerenciamento da AWS ou executa o EnableSharingWithAwsOrganization em sua conta usando a AWS CLI ou uma API da AWS, o AWS RAM cria a função vinculada ao serviço para você.

Chame enable-sharing-with-aws-organizations para criar a função vinculada a serviço na sua conta.

Se você excluir essa função vinculada ao serviço, o AWS RAM não terá mais permissões para visualizar os detalhes da estrutura da sua organização.

Editar um perfil vinculado ao serviço para o AWS RAM

O AWS RAM não permite que você edite a função vinculada ao serviço AWSResourceAccessManagerServiceRolePolicy. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Como excluir uma função vinculada ao serviço no AWS RAM

Também é possível usar o console do IAM, a AWS CLI ou a API da AWS para excluir manualmente a função vinculada ao serviço.

Para excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço AWSResourceAccessManagerServiceRolePolicy. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte a funções vinculadas a serviço do AWS RAM

AWS RAMO oferece suporte a perfis vinculados a serviços em todas as regiões nas quais o serviço estiver disponível. Para obter mais informações, consulte Regiões e endpoints do AWS no Referência geral da Amazon Web Services.