Atualizar a política de confiança de um perfil - AWS Identity and Access Management

Atualizar a política de confiança de um perfil

Para alterar quem pode assumir uma função, você deve modificar a política de confiança da função. Você não pode modificar a política de confiança para uma função vinculada a serviço.

Observações
  • Se um usuário for listado como principal em uma política de confiança da função, mas não puder assumir a função, verifique o limite de permissões do usuário. Se um limite de permissões for definido para o usuário, ele deverá permitir a ação sts:AssumeRole.

  • Para permitir que os usuários assumam novamente o perfil atual em uma sessão de perfil, especifique o ARN do perfil ou o ARN da Conta da AWS como entidade principal na política de confiança do perfil. Os Serviços da AWS que fornecem recursos computacionais, como o Amazon EC2, Amazon ECS, Amazon EKS e Lambda, fornecem credenciais temporárias e atualizam automaticamente essas credenciais. Isso garante que você tenha sempre um conjunto de credenciais válido. Nesses serviços, não é necessário assumir novamente a função atual para obter credenciais temporárias. Porém, se pretender passar tags de sessão ou uma política de sessão, você precisará assumir novamente a função atual.

Atualizar a política de confiança de um perfil (console)

Para alterar a política de confiança de um perfil no AWS Management Console
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Perfis.

  3. Na lista de funções em sua conta, escolha o nome da função que deseja modificar.

  4. Escolha a guia Trust relationships (Relacionamentos de confiança) e, em seguida, escolha Edit trust policy (Editar política de confiança).

  5. Edite a política de confiança, conforme necessário. Para adicionar outras entidades principais que podem assumir a função, especifique-as no elemento Principal. Por exemplo, o fragmento de política a seguir mostra como fazer referência a duas Contas da AWS no elemento Principal:

    "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },

    Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação sts:AssumeRole. Para obter mais informações, consulte o procedimento a seguir ou Conceder permissões a um usuário para alternar perfis.

    O trecho da política a seguir mostra como referenciar dois produtos da AWS no elemento Principal:

    "Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] },
  6. Ao concluir a edição da política de confiança, escolha Update policy(Atualizar política) para salvar as alterações.

    Para obter mais informações sobre a estrutura e a sintaxe da política, consulte Políticas e permissões no AWS Identity and Access Management e Referência de elemento de política JSON do IAM.

Para permitir que os usuários em uma conta externa confiável usem a função (console)

Para obter mais informações e detalhes sobre esse procedimento, consulte Conceder permissões a um usuário para alternar perfis.

  1. Faz login na Conta da AWS externa confiável.

  2. Decida se deseja anexar as permissões a um usuário ou a um grupo. No painel de navegação do console do IAM, escolha Users (Usuários) ou Groups (Grupos) conforme o caso.

  3. Escolha o nome do usuário ou do grupo ao qual você deseja conceder acesso e, em seguida, selecione a guia Permissões.

  4. Execute um destes procedimentos:

    • Para editar uma política gerenciada pelo cliente, escolha o nome da política, escolha Editar política e, em seguida, selecione a guia JSON. Você não pode editar uma política AWS gerenciada. As políticas AWS gerenciadas são exibidas com o ícone da AWS ( Orange cube icon indicating a policy is managed by AWS. ). Para obter mais informações sobre a diferença entre políticas gerenciadas pela AWS e pelo cliente, consulte Políticas gerenciadas e em linha.

    • Para editar uma política em linha, escolha a seta próxima ao nome da política e escolha Editar política.

  5. No editor de políticas, adicione um novo elemento Statement que especifica o seguinte:

    { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }

    Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.

  6. Siga os prompts na tela para terminar de editar a política.

Atualizar a política de confiança de um perfil (AWS CLI)

Você pode usar a AWS CLI para alterar quem pode assumir um perfil.

Como modificar uma política de confiança da função (AWS CLI)
  1. (Opcional) Se você não souber o nome da função que deseja modificar, execute o seguinte comando para listar as funções em sua conta:

  2. (Opcional) Para visualizar a política de confiança atual de uma função, execute o seguinte comando:

  3. Para modificar as entidades principais confiáveis que podem acessar a função, crie um arquivo de texto com a política de confiança atualizada. É possível usar qualquer editor de texto para construir a política.

    Por exemplo, a seguinte política de confiança mostra como fazer referência a duas Contas da AWS no elemento Principal. Isso permite que os usuários de duas Contas da AWS separadas assumam esse perfil.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }

    Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação sts:AssumeRole. Para obter mais informações, consulte o procedimento a seguir ou Conceder permissões a um usuário para alternar perfis.

  4. Para usar o arquivo que você acabou de criar para atualizar a política de confiança, execute o seguinte comando:

Para permitir que os usuários em uma conta externa confiável usem a função (AWS CLI)

Para obter mais informações e detalhes sobre esse procedimento, consulte Conceder permissões a um usuário para alternar perfis.

  1. Crie um arquivo JSON que contenha uma política de permissões que concede permissões para assumir a função. Por exemplo, a seguinte política contém as permissões necessárias mínimas:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }

    Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.

  2. Execute o seguinte comando para carregar o arquivo JSON que contém a política de confiança para o IAM:

    O resultado desse comando inclui o ARN da política. Anote esse ARN, pois você precisará dele em uma etapa posterior.

  3. Decida qual usuário ou grupo ao qual anexar a política. Se você não souber o nome do usuário ou do grupo pretendido, use um dos seguintes comandos para listar os usuários ou os grupos em sua conta:

  4. Use um dos seguintes comandos para anexar a política criada na etapa anterior ao usuário ou ao grupo:

Atualizar a política de confiança de um perfil (API da AWS)

Você pode usar a API da AWS para alterar quem pode assumir um perfil.

Como modificar a política de confiança de uma função (API da AWS)
  1. (Opcional) Se você não souber o nome da função que deseja modificar, chame a seguinte operação para listar as funções em sua conta:

  2. (Opcional) Para visualizar a política de confiança atual de uma função, chame a seguinte operação:

  3. Para modificar as entidades principais confiáveis que podem acessar a função, crie um arquivo de texto com a política de confiança atualizada. É possível usar qualquer editor de texto para construir a política.

    Por exemplo, a seguinte política de confiança mostra como fazer referência a duas Contas da AWS no elemento Principal. Isso permite que os usuários de duas Contas da AWS separadas assumam esse perfil.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }

    Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação sts:AssumeRole. Para obter mais informações, consulte o procedimento a seguir ou Conceder permissões a um usuário para alternar perfis.

  4. Para usar o arquivo que você acabou de criar para atualizar a política de confiança, chame a seguinte operação:

Para permitir que os usuários em uma conta externa confiável usem a função (API da AWS)

Para obter mais informações e detalhes sobre esse procedimento, consulte Conceder permissões a um usuário para alternar perfis.

  1. Crie um arquivo JSON que contenha uma política de permissões que concede permissões para assumir a função. Por exemplo, a seguinte política contém as permissões necessárias mínimas:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }

    Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.

  2. Chame a seguinte operação para carregar o arquivo JSON que contém a política de confiança para o IAM:

    O resultado dessa operação inclui o ARN da política. Anote esse ARN, pois você precisará dele em uma etapa posterior.

  3. Decida qual usuário ou grupo ao qual anexar a política. Se você não souber o nome do usuário ou do grupo pretendido, chame uma das seguintes operações para listar os usuários ou os grupos em sua conta:

  4. Chame uma das seguintes operações para anexar a política criada na etapa anterior ao usuário ou ao grupo: