Modificar uma função (console) - AWS Identity and Access Management

Modificar uma função (console)

Você pode usar a AWS Management Console para modificar uma função. Para alterar o conjunto de tags em uma função, consulte Gerenciamento de etiquetas em funções do IAM (console).

Modificar a política de confiança de uma função (console)

Para alterar quem pode assumir uma função, você deve modificar a política de confiança da função. Você não pode modificar a política de confiança para uma função vinculada a serviço.

nota

Se um usuário for listado como principal em uma política de confiança da função, mas não puder assumir a função, verifique o limite de permissões do usuário. Se um limite de permissões for definido para o usuário, ele deverá permitir a ação sts:AssumeRole.

Como modificar a política de confiança de uma função (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Roles (Perfis).

  3. Na lista de funções em sua conta, escolha o nome da função que deseja modificar.

  4. Escolha a guia Trust relationships (Relacionamentos de confiança) e, em seguida, escolha Edit trust policy (Editar política de confiança).

  5. Edite a política de confiança, conforme necessário. Para adicionar outras entidades principais que podem assumir a função, especifique-as no elemento Principal. Por exemplo, o fragmento de política a seguir mostra como fazer referência a duas contas da AWS no elemento Principal:

    "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },

    Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação sts:AssumeRole. Para obter mais informações, consulte o procedimento a seguir ou Concessão de permissões a um usuário para alternar funções.

    O trecho da política a seguir mostra como referenciar dois produtos da AWS no elemento Principal:

    "Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] },
  6. Ao concluir a edição da política de confiança, escolha Update policy(Atualizar política) para salvar as alterações.

    Para obter mais informações sobre a estrutura e a sintaxe da política, consulte Políticas e permissões no IAM e Referência de elementos de política JSON do IAM.

Para permitir que os usuários em uma conta externa confiável usem a função (console)

Para obter mais informações e detalhes sobre esse procedimento, consulte Concessão de permissões a um usuário para alternar funções.

  1. Faz login na conta externa confiável da AWS.

  2. Decida se deseja anexar as permissões a um usuário ou a um grupo. No painel de navegação do console do IAM, escolha Users (Usuários) ou Groups (Grupos) conforme o caso.

  3. Escolha o nome do usuário ou do grupo ao qual você deseja conceder acesso e, em seguida, selecione a guia Permissões.

  4. Faça um dos seguintes procedimentos:

    • Para editar uma política gerenciada pelo cliente, escolha o nome da política, escolha Editar política e, em seguida, selecione a guia JSON. Você não pode editar uma política AWS gerenciada. As políticas AWS gerenciadas são exibidas com o ícone da AWS ( ). Para obter mais informações sobre a diferença entre políticas gerenciadas pela AWS e pelo cliente, consulte Políticas gerenciadas e em linha.

    • Para editar uma política em linha, escolha a seta próxima ao nome da política e escolha Editar política.

  5. No editor de políticas, adicione um novo elemento Statement que especifica o seguinte:

    { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }

    Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.

  6. Siga os prompts na tela para terminar de editar a política.

Modificar a política de permissões de uma função (console)

Para alterar as permissões permitidas pela função, modifique a política de permissões da função (ou políticas). Você não pode modificar a política de permissões para uma função vinculada ao serviço no IAM. Pode ser possível modificar a política de permissões no serviço que depende da função. Para verificar se um serviço oferece suporte a este recurso, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que têm Sim na coluna Funções vinculadas ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a serviço desse serviço.

Para alterar as permissões permitidas por uma função (console)

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Roles (Perfis).

  3. Escolha o nome da função que você deseja modificar e, em seguida, escolha a guia Permissões.

  4. Faça um dos seguintes procedimentos:

    • Para editar uma política gerenciada do cliente atual, escolha o nome da política e escolha Editar política.

      nota

      Você não pode editar uma política gerenciada pela AWS. A política gerenciada pela AWS é exibida com o ícone da AWS ( ). Para obter mais informações sobre a diferença entre políticas gerenciadas pela AWS e pelo cliente, consulte Políticas gerenciadas e em linha.

    • Para anexar uma política gerenciada existente ao perfil, escolha Add permissions (Adicionar permissões)e, depois, escolha Attach policies (Anexar políticas).

    • Para editar uma política em linha existente, expanda a política e escolha Edit (Editar).

    • Para incorporar uma nova política em linha, escolha Add permissions (Adicionar permissões) e, depois, escolha Create inline policy (Criar política em linha).

Modificar a descrição de uma função (console)

Para alterar a descrição da função, modifique o texto da descrição.

Para alterar a descrição de uma função (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Roles (Perfis).

  3. Escolha o nome da função a ser modificada.

  4. Na seção Summary (Resumo), escolha Edit (Editar).

  5. Insira uma nova descrição na caixa e escolha Save changes (Salvar alterações).

Modificar a duração máxima da sessão de uma função (console)

Para especificar a configuração de duração máxima da sessão para funções que são assumidas usando o console, a AWS CLI ou a API da AWS, modifique o valor da configuração da duração máxima da sessão. Essa configuração pode ter um valor de 1 hora a 12 horas. Se você não especificar um valor, o padrão máximo de 1 hora será aplicado. Essa configuração não limita sessões assumidas por serviços da AWS.

Como alterar a configuração de duração máxima da sessão para funções que são assumidas usando o console, a AWS CLI ou a API da AWS (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Roles (Perfis).

  3. Escolha o nome da função a ser modificada.

  4. Na seção Summary (Resumo), escolha Edit (Editar).

  5. Para Maximum session duration (Duração máxima da sessão), escolha um valor. Ou escolha Custom duration (Duração personalizada) e inisra um valor (em segundos).

  6. Selecione Save changes.

    Suas alterações não terão efeito até que alguém assuma essa função. Para saber como revogar as sessões existentes para a função, consulte Revogação das credenciais de segurança temporárias da função do IAM.

No AWS Management Console, as sessões de usuário do IAM são de 12 horas por padrão. Os usuários do IAM que trocam de funções no console recebem a duração máxima da sessão da função ou o tempo restante na sessão do usuário do IAM, o que for menor.

Qualquer pessoa que assuma a função da AWS CLI ou da API da AWS pode solicitar uma sessão mais longa, até esse máximo. A configuração MaxSessionDuration determina a duração máxima da sessão da função que pode ser solicitada.

Modificar o limite de permissões de uma função (console)

Para alterar o número máximo de permissões permitidas para uma função, modifique o limite de permissões da função.

Para alterar a política usada para definir o limite de permissões para uma função

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Roles.

  3. Escolha o nome do perfil cujo com o limite de permissões que você deseja alterar.

  4. Escolha a guia Permissions (Permissões). Se necessário, abra a seção Limite de permissões e, em seguida, escolha Alterar limite.

  5. Selecione a política que você deseja usar para o limite de permissões.

  6. Escolha Alterar limite.

    Suas alterações não terão efeito até que alguém assuma essa função.