Usar funções vinculadas ao serviço do AWS Identity and Access Management Access Analyzer
O AWS Identity and Access Management Access Analyzer usa um perfil vinculado ao serviço do IAM. Uma função vinculada a serviço é um tipo exclusivo de perfil do IAM vinculada diretamente ao IAM Access Analyzer. As funções vinculadas a um serviço são predefinidas pelo IAM Access Analyzer e incluem todas as permissões que o atributo exige para chamar outros serviços AWS em seu nome.
Uma função vinculada a um serviço facilita a configuração do IAM Access Analyzer porque não é preciso adicionar as permissões necessárias manualmente. O IAM Access Analyzer define as permissões de suas funções vinculadas a um serviço e, exceto se definido de outra forma, somente o IAM Access Analyzer pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Yes (Sim) na coluna Service-Linked Role (Função vinculada ao serviço). Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Permissões de função vinculada ao serviço do AWS Identity and Access Management Access Analyzer
O AWS Identity and Access Management Access Analyzer usa a função vinculada a serviço chamada AWSServiceRoleForAccessAnalyzer, que permite que o Access Analyzer analise os metadados do recurso para acessos externos e para analisar a atividade e identificar acessos não utilizados.
A função vinculada ao serviço AWSServiceRoleForAccessAnalyzer confia nos seguintes serviços para assumir a função:
-
access-analyzer.amazonaws.com
A política de permissões da função chamada AccessAnalyzerServiceRolePolicy permite que o IAM Access Analyzer conclua ações em recursos específicos.
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de função vinculada ao serviço no Guia do usuário do IAM.
Criar uma função vinculada a um serviço para o IAM Access Analyzer
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você habilita o Access Analyzer no AWS Management Console ou na API da AWS, o IAM Access Analyzer cria a função vinculada ao serviço para você. A mesma função vinculada ao serviço é usada em todas as regiões nas quais você habilita o IAM Access Analyzer. Tanto as descobertas de acessos externos quanto as de acessos não utilizados usam a mesma função vinculada ao serviço.
nota
O IAM Access Analyzer é regional. É necessário habilitar o IAM Access Analyzer em cada região de maneira independente.
Se excluir essa função vinculada ao serviço, o IAM Access Analyzer recriará a função na próxima vez em que você criar um analisador.
Você também pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do Access Analyzer. Na AWS CLI ou na API do AWS, crie uma função vinculada ao serviço com o nome de serviço access-analyzer.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
Editar uma função vinculada a um serviço para o IAM Access Analyzer
O IAM Access Analyzer não permite editar a função vinculada ao serviço AWSServiceRoleForAccessAnalyzer. Depois que criar uma função vinculada ao serviço, você não poderá alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada ao serviço no Guia do usuário do IAM.
Excluir uma função vinculada a um serviço para o IAM Access Analyzer
Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.
nota
Se o IAM Access Analyzer estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos do IAM Access Analyzer usados por AWSServiceRoleForAccessAnalyzer
-
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
Na seção Access reports (Relatórios de acesso), em Access analyzer (Analisador de acesso), selecione Analyzers (Analisadores).
-
Marque a caixa de seleção no canto superior esquerdo acima da lista de analisadores na tabela Analyzers (Analisadores) para selecionar todos os analisadores.
-
Escolha Delete (Excluir).
-
Para confirmar que deseja excluir os analisadores, insira
deletee selecione Delete (Excluir).
Como excluir manualmente a função vinculada ao serviço usando o IAM
Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada a serviço AWSServiceRoleForAccessAnalyzer. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Regiões compatíveis com funções vinculadas a serviço do IAM Access Analyzer
O IAM Access Analyzer oferece suporte a funções vinculadas a serviços em todas as regiões onde o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints do AWS.
