Criar funções e anexar políticas (console) - AWS Identity and Access Management
Exemplo 1: Configuração de um usuário como um administrador de banco de dados (console)Exemplo 2: Configuração de um usuário como um administrador de rede (console)

Criar funções e anexar políticas (console)

Várias das políticas previamente listadas concedem a capacidade de configurar serviços da AWS com funções que permitem que esses serviços executem operações em seu nome. As políticas de função de trabalho especificam nomes de função exatos que você deve usar ou, no mínimo, incluem um prefixo que especifica a primeira parte do nome que pode ser usado. Para criar uma dessas funções, execute as etapas no procedimento a seguir.

Para criar uma função para um AWS service (Serviço da AWS) (console do IAM)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Perfis e, em seguida, Criar perfil.

  3. Em Tipo de Entidade Confiável, escolha AWS service (Serviço da AWS).

  4. Para Serviço ou caso de uso, escolha um serviço e, em seguida, escolha o caso de uso. Casos de uso são definidos pelo serviço para incluir a política de confiança exigida pelo serviço.

  5. Escolha Próximo.

  6. As opções para Políticas de permissões dependem do caso de uso selecionado.

    • Se o serviço definir as permissões para o perfil, não será possível selecionar políticas de permissões.

    • Selecione em um conjunto limitado de políticas de permissões.

    • Selecione entre todas as políticas de permissões.

    • Não selecione nenhuma política de permissão, crie políticas após a criação do perfil e, em seguida, anexe as políticas ao perfil.

  7. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.

    1. Abra a seção Definir limite de permissões e escolha Usar um limite de permissões para controlar o número máximo de permissões do perfil.

      O IAM inclui uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta.

    2. Selecione a política a ser usada para o limite de permissões.

  8. Escolha Próximo.

  9. Para Nome do perfil, as opções dependem do serviço:

    • Se o serviço definir o nome do perfil, não será possível editar esse nome.

    • Se o serviço definir um prefixo para o nome do perfil, você poderá inserir um sufixo opcional.

    • Se o serviço definir o nome do perfil, você poderá atribuir um nome ao perfil.

      Importante

      Quando nomear um perfil, observe o seguinte:

      • Os nomes do perfil devem ser exclusivos em sua Conta da AWS e não podem ser diferenciados caso a caso.

        Por exemplo, não crie dois perfis denominados PRODROLE e prodrole. Quando usado em uma política ou como parte de um ARN, o nome de perfil diferencia maiúsculas de minúsculas. No entanto, quando exibido para os clientes no console, como durante o processo de login, o nome de perfil diferencia maiúsculas de minúsculas.

      • Não é possível editar o nome do perfil depois de criá-lo porque outras entidades podem referenciar o perfil.

  10. (Opcional) Em Descrição, insira uma descrição para o perfil.

  11. (Opcional) Para editar os casos de uso e as permissões do perfil, escolha Editar nas seções Etapa 1: selecionar entidades confiáveis ou Etapa 2: adicionar permissões.

  12. (Opcional) Para ajudar a identificar, organizar ou pesquisar o perfil, adicione tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte Marcar recursos do IAM no Guia do usuário do IAM.

  13. Reveja a função e escolha Criar função.

Exemplo 1: Configuração de um usuário como um administrador de banco de dados (console)

Este exemplo mostra as etapas necessárias para configurar Alice, uma usuária do IAM, como administrador de banco de dados. Você pode usar as informações na primeira linha da tabela na seção e permitir que o usuário habilite o monitoramento do Amazon RDS. Anexe a política DatabaseAdministrator ao usuário do IAM de Alice para que ela possa gerenciar os serviços de banco de dados da Amazon. Essa política também permite que Alice passe ao serviço Amazon RDS um perfil denominado rds-monitoring-role que permite que o serviço monitore os bancos de dados do Amazon RDS em nome dela.

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Selecione Políticas, digite database na caixa de pesquisa e pressione enter.

  3. Marque o botão de seleção da política DatabaseAdministrator, escolha Ações e depois Anexar.

  4. Na lista de usuários, selecione Alice e depois escolha Anexar política. Alice agora pode administrar bancos de dados da AWS. No entanto, para permitir que Alice monitore esses bancos de dados, você deve configurar a função de serviço.

  5. No painel de navegação do console do IAM, escolha Perfis e, em seguida, Criar perfil.

  6. Escolha o tipo de perfil Serviço da AWS e escolha Amazon RDS.

  7. Escolha o caso de uso Amazon RDS Role for Enhanced Monitoring (Função do Amazon RDS para monitoramento avançado).

  8. O Amazon RDS define as permissões para a função. Escolha Próximo: Revisar para continuar.

  9. O nome da função deve ser um dos nomes especificados pela política DatabaseAdministrator que Alice agora possui. Um deles é rds-monitoring-role. Insira esse nome em Role name (Nome do perfil).

  10. (Opcional) Em Descrição do perfil, insira uma descrição para o novo perfil.

  11. Após revisar os detalhes, selecione Create role (Criar função).

  12. Alice agora pode habilitar o RDS Enhanced Monitoring (Monitoramento avançado do RDS) na seção Monitoring (Monitoramento) do console do Amazon RDS. Por exemplo, ela poderia fazer isso ao criar uma instância de banco de dados ou uma réplica de leitura, ou ao modificar uma instância de banco de dados. Ela deve inserir o nome do perfil que criou (rds-monitoring-role) na caixa Monitoring Role (Perfil de monitoramento) quando definir Enable Enhanced Monitoring (Habilitar monitoramento avançado) como Yes (Sim).

Exemplo 2: Configuração de um usuário como um administrador de rede (console)

Este exemplo mostra as etapas necessárias para configurar Jorge, um usuário do IAM, como administrador da rede. O exemplo usa as informações da tabela nessa seção para permitir que Jorge monitore o tráfego de IP entrando e saindo de uma VPC. Permite também que Jorge capture essas informações nos logs do CloudWatch Logs. Anexe a política NetworkAdministrator ao usuário do IAM de Jorge para que ele possa configurar os recursos de rede da AWS. Essa política também permitirá que Jorge passe um perfil cujo nome começa com flow-logs* para o Amazon EC2 quando você criar um log de fluxo. Nesse cenário, ao contrário do Exemplo 1, não há um tipo de função de serviço predefinido; portanto, você deve realizar algumas etapas de forma diferente.

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Políticas e insira network na caixa de pesquisa, depois pressione enter.

  3. Marque o botão de seleção ao lado da política NetworkAdministrator, escolha Ações e depois escolha Anexar.

  4. Na lista de usuários, marque a caixa de seleção ao lado de Jorge e selecione Attach policy (Anexar política). Jorge agora pode administrar os recursos de rede da AWS. No entanto, para habilitar o monitoramento de tráfego de IP em sua VPC, você deve configurar a função de serviço.

  5. Como a função de serviço que você precisa criar não tem uma política gerenciada predefinida, você deve primeiro criá-la. No painel de navegação, selecione Políticas e, em seguida, Criar política.

  6. Na seção Editor de políticas, escolha a opção JSON e copie o texto do documento da política JSON a seguir. Cole este texto na caixa de texto do JSON. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a validação de política e depois escolha Próximo.

    nota

    Você pode alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Avançar no editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte Reestruturação da política.

  8. Na página Revisar e criar, digite vpc-flow-logs-policy-for-service-role para o nome da política. Revise Permissões definidas nessa política para ver as permissões concedidas pela política e depois escolha Criar política para salvar seu trabalho.

    A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada.

  9. No painel de navegação do console do IAM, escolha Perfis e, em seguida, Criar perfil.

  10. Escolha o tipo de perfil Serviço da AWS e escolha Amazon EC2.

  11. Selecione o caso de uso Amazon EC2.

  12. Na página Anexar políticas de permissão, selecione a política que você criou anteriormente, vpc-flow-logs-policy-for-service-role e, em seguida, selecione Próxima: Revisar.

  13. O nome da função deve ser permitido pela política NetworkAdministrator que Jorge agora tem. Qualquer nome que comece com flow-logs- é permitido. Neste exemplo, insira flow-logs-for-jorge em Role name (Nome do perfil).

  14. (Opcional) Em Descrição do perfil, insira uma descrição para o novo perfil.

  15. Após revisar os detalhes, selecione Create role (Criar função).

  16. Agora você pode configurar a política de confiança necessária para este cenário. Na página Roles (Perfis), selecione o perfil flow-logs-for-jorge (o nome, não a caixa de seleção). Na página de detalhes para a sua nova função, selecione a guia Relações de confiança e, em seguida, selecione Editar relação de confiança.

  17. Altere o "Serviço" para ler da seguinte forma, substituindo a entrada por ec2.amazonaws.com:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge agora pode criar logs de fluxo para uma VPC ou sub-rede no console do Amazon EC2. Quando você criar o log de fluxos, especifique o perfil flow-logs-for-jorge. Essa função tem as permissões para criar o log e gravar dados nele.