Eine Servicerolle hinzufügen - AWS Amplify Hosten
Erstellen einer ServicerolleConfused-Deputy-Prävention

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine Servicerolle hinzufügen

Amplify benötigt Berechtigungen, um Backend-Ressourcen mit Ihrem Frontend bereitzustellen. Dazu verwenden Sie eine Servicerolle. Eine Servicerolle ist die AWS Identity and Access Management (IAM) -Rolle, die Amplify übernimmt, wenn es in Ihrem Namen andere Dienste anruft. In diesem Handbuch erfahren Sie, wie Sie eine Amplify-Servicerolle erstellen, die über Kontoverwaltungsrechte verfügt und explizit direkten Zugriff auf Ressourcen ermöglicht, die Amplify-Anwendungen für die Bereitstellung, Erstellung und Verwaltung von Backends benötigen.

Erstellen einer Servicerolle

So erstellen Sie eine Servicerolle

  1. Öffnen Sie die IAM-Konsole und wählen Sie in der linken Navigationsleiste Rollen und dann Rolle erstellen aus.

  2. Wählen Sie auf der Seite Vertrauenswürdige Entitäten auswählen die Option AWS -Service aus. Wählen Sie unter Anwendungsfall die Option Amplify und dann Weiter aus.

  3. Wählen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) die Option Next (Weiter) aus.

  4. Geben Sie auf der Seite Name, Ansicht und Erstellung für Rollenname einen aussagekräftigen Namen ein, z. B. AmplifyConsoleServiceRole-AmplifyRole

  5. Akzeptieren Sie alle Standardeinstellungen und wählen Sie „Rolle erstellen“.

  6. Kehren Sie zur Amplify-Konsole zurück, um die Rolle an Ihre App anzuhängen.

    • Wenn Sie gerade dabei sind, eine neue App bereitzustellen

      1. Aktualisieren Sie die Liste der Servicerollen.

      2. Wählen Sie die Rolle aus, die Sie gerade erstellt haben. In diesem Beispiel sollte es so aussehen AmplifyConsoleServiceRole- AmplifyRole

      3. Wählen Sie Weiter und folgen Sie den Schritten, um Ihre App-Bereitstellung abzuschließen.

    • Wenn Sie eine bestehende App haben

      1. Wählen Sie im Navigationsbereich App-Einstellungen und dann Allgemeine Einstellungen aus.

      2. Wählen Sie auf der Seite Allgemeine Einstellungen die Option Bearbeiten aus.

      3. Wählen Sie auf der Seite Allgemeine Einstellungen bearbeiten die Rolle, die Sie gerade erstellt haben, aus der Liste der Servicerollen aus.

      4. Wählen Sie Speichern.

  7. Die Amplify-Konsole verfügt jetzt über Berechtigungen zum Bereitstellen von Backend-Ressourcen für Ihre App.

Confused-Deputy-Prävention

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. Weitere Informationen finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

Derzeit erzwingt die Standard-Vertrauensrichtlinie für die Amplify-Backend Deployment Servicerolle die Schlüssel aws:SourceArn und die aws:SourceAccount globalen Kontextbedingungen, um zu verhindern, dass der Stellvertreter verwirrt wird. Wenn Sie jedoch zuvor eine Amplify-Backend Deployment Rolle in Ihrem Konto erstellt haben, können Sie die Vertrauensrichtlinie der Rolle aktualisieren, um diese Bedingungen hinzuzufügen, um vor verwirrtem Stellvertreter zu schützen.

Verwenden Sie das folgende Beispiel, um den Zugriff auf Apps in Ihrem Konto einzuschränken. Ersetzen Sie die Region und die Anwendungs-ID im Beispiel durch Ihre eigenen Informationen.

"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

Anweisungen zum Bearbeiten der Vertrauensrichtlinie für eine Rolle mithilfe von finden Sie unter Ändern einer Rolle (Konsole) im IAM-Benutzerhandbuch. AWS Management Console