Atualizar a política de confiança de um perfil
Para alterar quem pode assumir uma função, você deve modificar a política de confiança da função. Você não pode modificar a política de confiança para uma função vinculada a serviço.
Observações
-
Se um usuário for listado como principal em uma política de confiança da função, mas não puder assumir a função, verifique o limite de permissões do usuário. Se um limite de permissões for definido para o usuário, ele deverá permitir a ação
sts:AssumeRole
. -
Para permitir que os usuários assumam novamente o perfil atual em uma sessão de perfil, especifique o ARN do perfil ou o ARN da Conta da AWS como entidade principal na política de confiança do perfil. Os Serviços da AWS que fornecem recursos computacionais, como o Amazon EC2, Amazon ECS, Amazon EKS e Lambda, fornecem credenciais temporárias e atualizam automaticamente essas credenciais. Isso garante que você tenha sempre um conjunto de credenciais válido. Nesses serviços, não é necessário assumir novamente a função atual para obter credenciais temporárias. Porém, se pretender passar tags de sessão ou uma política de sessão, você precisará assumir novamente a função atual.
Atualizar a política de confiança de um perfil (console)
Para alterar a política de confiança de um perfil no AWS Management Console
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação do console do IAM, escolha Perfis.
-
Na lista de funções em sua conta, escolha o nome da função que deseja modificar.
-
Escolha a guia Trust relationships (Relacionamentos de confiança) e, em seguida, escolha Edit trust policy (Editar política de confiança).
-
Edite a política de confiança, conforme necessário. Para adicionar outras entidades principais que podem assumir a função, especifique-as no elemento
Principal
. Por exemplo, o fragmento de política a seguir mostra como fazer referência a duas Contas da AWS no elementoPrincipal
:"Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },
Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação
sts:AssumeRole
. Para obter mais informações, consulte o procedimento a seguir ou Conceder permissões a um usuário para alternar perfis.O trecho da política a seguir mostra como referenciar dois produtos da AWS no elemento
Principal
:"Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] },
-
Ao concluir a edição da política de confiança, escolha Update policy(Atualizar política) para salvar as alterações.
Para obter mais informações sobre a estrutura e a sintaxe da política, consulte Políticas e permissões no AWS Identity and Access Management e Referência de elemento de política JSON do IAM.
Para permitir que os usuários em uma conta externa confiável usem a função (console)
Para obter mais informações e detalhes sobre esse procedimento, consulte Conceder permissões a um usuário para alternar perfis.
-
Faz login na Conta da AWS externa confiável.
-
Decida se deseja anexar as permissões a um usuário ou a um grupo. No painel de navegação do console do IAM, escolha Users (Usuários) ou Groups (Grupos) conforme o caso.
-
Escolha o nome do usuário ou do grupo ao qual você deseja conceder acesso e, em seguida, selecione a guia Permissões.
-
Execute um destes procedimentos:
-
Para editar uma política gerenciada pelo cliente, escolha o nome da política, escolha Editar política e, em seguida, selecione a guia JSON. Você não pode editar uma política AWS gerenciada. As políticas AWS gerenciadas são exibidas com o ícone da AWS ( ). Para obter mais informações sobre a diferença entre políticas gerenciadas pela AWS e pelo cliente, consulte Políticas gerenciadas e em linha.
-
Para editar uma política em linha, escolha a seta próxima ao nome da política e escolha Editar política.
-
-
No editor de políticas, adicione um novo elemento
Statement
que especifica o seguinte:{ "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
ACCOUNT-ID
:role/ROLE-NAME
" }Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.
-
Siga os prompts na tela para terminar de editar a política.
Atualizar a política de confiança de um perfil (AWS CLI)
Você pode usar a AWS CLI para alterar quem pode assumir um perfil.
Como modificar uma política de confiança da função (AWS CLI)
-
(Opcional) Se você não souber o nome da função que deseja modificar, execute o seguinte comando para listar as funções em sua conta:
-
(Opcional) Para visualizar a política de confiança atual de uma função, execute o seguinte comando:
-
Para modificar as entidades principais confiáveis que podem acessar a função, crie um arquivo de texto com a política de confiança atualizada. É possível usar qualquer editor de texto para construir a política.
Por exemplo, a seguinte política de confiança mostra como fazer referência a duas Contas da AWS no elemento
Principal
. Isso permite que os usuários de duas Contas da AWS separadas assumam esse perfil.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }
Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação
sts:AssumeRole
. Para obter mais informações, consulte o procedimento a seguir ou Conceder permissões a um usuário para alternar perfis. -
Para usar o arquivo que você acabou de criar para atualizar a política de confiança, execute o seguinte comando:
Para permitir que os usuários em uma conta externa confiável usem a função (AWS CLI)
Para obter mais informações e detalhes sobre esse procedimento, consulte Conceder permissões a um usuário para alternar perfis.
-
Crie um arquivo JSON que contenha uma política de permissões que concede permissões para assumir a função. Por exemplo, a seguinte política contém as permissões necessárias mínimas:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
ACCOUNT-ID-THAT-CONTAINS-ROLE
:role/ROLE-NAME
" } }Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.
-
Execute o seguinte comando para carregar o arquivo JSON que contém a política de confiança para o IAM:
O resultado desse comando inclui o ARN da política. Anote esse ARN, pois você precisará dele em uma etapa posterior.
-
Decida qual usuário ou grupo ao qual anexar a política. Se você não souber o nome do usuário ou do grupo pretendido, use um dos seguintes comandos para listar os usuários ou os grupos em sua conta:
-
Use um dos seguintes comandos para anexar a política criada na etapa anterior ao usuário ou ao grupo:
Atualizar a política de confiança de um perfil (API da AWS)
Você pode usar a API da AWS para alterar quem pode assumir um perfil.
Como modificar a política de confiança de uma função (API da AWS)
-
(Opcional) Se você não souber o nome da função que deseja modificar, chame a seguinte operação para listar as funções em sua conta:
-
(Opcional) Para visualizar a política de confiança atual de uma função, chame a seguinte operação:
-
Para modificar as entidades principais confiáveis que podem acessar a função, crie um arquivo de texto com a política de confiança atualizada. É possível usar qualquer editor de texto para construir a política.
Por exemplo, a seguinte política de confiança mostra como fazer referência a duas Contas da AWS no elemento
Principal
. Isso permite que os usuários de duas Contas da AWS separadas assumam esse perfil.{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }
Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação
sts:AssumeRole
. Para obter mais informações, consulte o procedimento a seguir ou Conceder permissões a um usuário para alternar perfis. -
Para usar o arquivo que você acabou de criar para atualizar a política de confiança, chame a seguinte operação:
Para permitir que os usuários em uma conta externa confiável usem a função (API da AWS)
Para obter mais informações e detalhes sobre esse procedimento, consulte Conceder permissões a um usuário para alternar perfis.
-
Crie um arquivo JSON que contenha uma política de permissões que concede permissões para assumir a função. Por exemplo, a seguinte política contém as permissões necessárias mínimas:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::
ACCOUNT-ID-THAT-CONTAINS-ROLE
:role/ROLE-NAME
" } }Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.
-
Chame a seguinte operação para carregar o arquivo JSON que contém a política de confiança para o IAM:
O resultado dessa operação inclui o ARN da política. Anote esse ARN, pois você precisará dele em uma etapa posterior.
-
Decida qual usuário ou grupo ao qual anexar a política. Se você não souber o nome do usuário ou do grupo pretendido, chame uma das seguintes operações para listar os usuários ou os grupos em sua conta:
-
Chame uma das seguintes operações para anexar a política criada na etapa anterior ao usuário ou ao grupo: