Usar funções vinculadas ao serviço do AWS IAM Access Analyzer - AWS Identity and Access Management

Usar funções vinculadas ao serviço do AWS IAM Access Analyzer

O AWS IAM Access Analyzer usa uma função vinculada ao serviço IAM. A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao Access Analyzer. As funções vinculadas ao serviço são predefinidas pelo Access Analyzer e incluem todas as permissões que o recurso exige para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração do Access Analyzer porque não é preciso adicionar as permissões necessárias manualmente. O Access Analyzer define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Access Analyzer pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Yes (Sim) na coluna Service-Linked Role (Função vinculada a serviço). Escolha um Sim com um link para visualizar a documentação da função vinculada a serviço desse serviço.

Permissões de função vinculadas ao serviço para o AWS IAM Access Analyzer

O AWS IAM Access Analyzer usa a função vinculada ao serviço chamada AWSServiceRoleForAccessAnalyzer, que permite que o Access Analyzer analise os metadados do recurso.

A função vinculada ao serviço AWSServiceRoleForAccessAnalyzer confia nos seguintes serviços para assumir a função:

  • access-analyzer.amazonaws.com

A política de permissões da função chamada AccessAnalyzerServiceRolePolicy permite que o Access Analyzer conclua ações em recursos específicos.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de função vinculada ao serviço no Guia do usuário do IAM.

Criar uma função vinculada a serviço para o Access Analyzer

Você não precisa criar manualmente uma função vinculada a serviço. Quando você habilita o Access Analyzer no AWS Management Console ou na API da AWS, o Access Analyzer cria a função vinculada ao serviço para você. A mesma função vinculada ao serviço é usada em todas as regiões nas quais você habilita o Access Analyzer.

nota

O Access Analyzer é regional. É necessário habilitar o Access Analyzer em cada região de maneira independente.

Se excluir essa função vinculada ao serviço, o Access Analyzer recriará a função na próxima vez em que você criar um analisador.

Você também pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do Access Analyzer. Na AWS CLI ou na API do AWS, crie uma função vinculada ao serviço com o nome de serviço access-analyzer.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar uma função vinculada a serviço para o Access Analyzer

O Access Analyzer não permite editar a função vinculada ao serviço AWSServiceRoleForAccessAnalyzer. Depois que criar uma função vinculada ao serviço, você não poderá alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada ao serviço no Guia do usuário do IAM.

Excluir uma função vinculada a serviço para o Access Analyzer

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

nota

Se o Access Analyzer estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do Access Analyzer usados por AWSServiceRoleForAccessAnalyzer

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Na seção Access reports (Relatórios de acesso), em Access analyzer (Analisador de acesso), selecione Analyzers (Analisadores).

  3. Marque a caixa de seleção no canto superior esquerdo acima da lista de analisadores na tabela Analyzers (Analisadores) para selecionar todos os analisadores.

  4. Escolha Delete (Excluir).

  5. Para confirmar que deseja excluir os analisadores, insira delete e selecione Delete (Excluir).

Como excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada a serviço AWSServiceRoleForAccessAnalyzer. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões compatíveis com funções vinculadas ao serviço do Access Analyzer

O Access Analyzer oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints do AWS.