Modificar uma função (console)

Você pode usar a AWS Management Console para modificar uma função. Para alterar o conjunto de tags em uma função, consulte Gerenciamento de etiquetas em funções do IAM (console).

Modificação de uma política de confiança de função (console)

Para alterar quem pode assumir uma função, você deve modificar a política de confiança da função. Você não pode modificar a política de confiança para uma função vinculada a serviço.

Observações

• Se um usuário for listado como principal em uma política de confiança da função, mas não puder assumir a função, verifique o limite de permissões do usuário. Se um limite de permissões for definido para o usuário, ele deverá permitir a ação sts:AssumeRole.

• Para permitir que os usuários assumam novamente o perfil atual em uma sessão de perfil, especifique o ARN do perfil ou o ARN da Conta da AWS como entidade principal na política de confiança do perfil. Os Serviços da AWS que fornecem recursos computacionais, como o Amazon EC2, Amazon ECS, Amazon EKS e Lambda, fornecem credenciais temporárias e atualizam automaticamente essas credenciais. Isso garante que você tenha sempre um conjunto de credenciais válido. Nesses serviços, não é necessário assumir novamente a função atual para obter credenciais temporárias. Porém, se pretender passar tags de sessão ou uma política de sessão, você precisará assumir novamente a função atual.

Como modificar a política de confiança de uma função (console)

1. Faça login em AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação do console do IAM, escolha Perfis.

3. Na lista de funções em sua conta, escolha o nome da função que deseja modificar.

4. Escolha a guia Trust relationships (Relacionamentos de confiança) e, em seguida, escolha Edit trust policy (Editar política de confiança).

5. Edite a política de confiança, conforme necessário. Para adicionar outras entidades principais que podem assumir a função, especifique-as no elemento Principal. Por exemplo, o fragmento de política a seguir mostra como fazer referência a duas Contas da AWS no elemento Principal:

   "Principal": {
     "AWS": [
       "arn:aws:iam::111122223333:root",
       "arn:aws:iam::444455556666:root"
     ]
   },

   Se você especificar um principal em outra conta, adicionar uma conta à política de confiança de uma função é apenas metade da tarefa de estabelecer o relacionamento de confiança entre contas. Por padrão, nenhum usuário nas contas confiáveis pode assumir a função. O administrador da conta confiável recém-criada deve conceder aos usuários a permissão para assumir a função. Para fazer isso, o administrador deve criar ou editar uma política que está anexada ao usuário para permitir acesso ao usuário à ação sts:AssumeRole. Para obter mais informações, consulte o procedimento a seguir ou Concessão de permissões a um usuário para alternar funções.

   O trecho da política a seguir mostra como referenciar dois produtos da AWS no elemento Principal:

   "Principal": {
     "Service": [
       "opsworks.amazonaws.com",
       "ec2.amazonaws.com"
     ]
   },

6. Ao concluir a edição da política de confiança, escolha Update policy(Atualizar política) para salvar as alterações.

   Para obter mais informações sobre a estrutura e a sintaxe da política, consulte Políticas e permissões no IAM e Referência de elementos de política JSON do IAM.

Para permitir que os usuários em uma conta externa confiável usem a função (console)

Para obter mais informações e detalhes sobre esse procedimento, consulte Concessão de permissões a um usuário para alternar funções.

1. Faz login na Conta da AWS externa confiável.

2. Decida se deseja anexar as permissões a um usuário ou a um grupo. No painel de navegação do console do IAM, escolha Users (Usuários) ou Groups (Grupos) conforme o caso.

3. Escolha o nome do usuário ou do grupo ao qual você deseja conceder acesso e, em seguida, selecione a guia Permissões.

4. Execute um destes procedimentos:

   • Para editar uma política gerenciada pelo cliente, escolha o nome da política, escolha Editar política e, em seguida, selecione a guia JSON. Você não pode editar uma política AWS gerenciada. As políticas AWS gerenciadas são exibidas com o ícone da AWS ( ). Para obter mais informações sobre a diferença entre políticas gerenciadas pela AWS e pelo cliente, consulte Políticas gerenciadas e em linha.

   • Para editar uma política em linha, escolha a seta próxima ao nome da política e escolha Editar política.

5. No editor de políticas, adicione um novo elemento Statement que especifica o seguinte:

   {
     "Effect": "Allow",
     "Action": "sts:AssumeRole",
     "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME"
   }

   Substitua o ARN na instrução pelo ARN da função que o usuário pode assumir.

6. Siga os prompts na tela para terminar de editar a política.

Modificar a política de permissões de uma função (console)

Para alterar as permissões permitidas pela função, modifique a política de permissões da função (ou políticas). Você não pode modificar a política de permissões para uma função vinculada ao serviço no IAM. Pode ser possível modificar a política de permissões no serviço que depende da função. Para verificar se um serviço oferece suporte a este recurso, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que têm Sim na coluna Funções vinculadas ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Para alterar as permissões permitidas por uma função (console)

1. Abra o console IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação do console do IAM, escolha Perfis.

3. Escolha o nome da função que você deseja modificar e, em seguida, escolha a guia Permissões.

4. Execute um destes procedimentos:

   • Para editar uma política gerenciada do cliente atual, escolha o nome da política e escolha Editar política.

     nota

     Você não pode editar uma política AWS gerenciada. As políticas AWS gerenciadas são exibidas com o ícone da AWS ( ). Para obter mais informações sobre a diferença entre políticas gerenciadas pela AWS e pelo cliente, consulte Políticas gerenciadas e em linha.

   • Para anexar uma política gerenciada existente à função, escolha Add permissions (Adicionar permissões)e, depois, escolha Attach policies (Anexar políticas).

   • Para editar uma política em linha existente, expanda a política e escolha Edit (Editar).

   • Para incorporar uma nova política em linha, escolha Add permissions (Adicionar permissões) e, depois, escolha Create inline policy (Criar política em linha).

   • Para remover uma política existente do perfil, marque a caixa de seleção ao lado do nome da política e escolha Remover.

Modificar a descrição de uma função (console)

Para alterar a descrição da função, modifique o texto da descrição.

Para alterar a descrição de uma função (console)

1. Faça login em AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação do console do IAM, escolha Perfis.

3. Escolha o nome da função a ser modificada.

4. Na seção Summary (Resumo), escolha Edit (Editar).

5. Insira uma nova descrição na caixa e escolha Save changes (Salvar alterações).

Modificar a duração máxima da sessão de uma função (console)

Para especificar a configuração de duração máxima da sessão para funções que são assumidas usando o console, a AWS CLI ou a API da AWS, modifique o valor da configuração da duração máxima da sessão. Essa configuração pode ter um valor de 1 hora a 12 horas. Se você não especificar um valor, o padrão máximo de 1 hora será aplicado. Essa configuração não limita sessões assumidas por serviços da AWS.

Como alterar a configuração de duração máxima da sessão para funções que são assumidas usando o console, a AWS CLI ou a API da AWS (console)

1. Faça login em AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação do console do IAM, escolha Perfis.

3. Escolha o nome da função a ser modificada.

4. Na seção Summary (Resumo), escolha Edit (Editar).

5. Para Maximum session duration (Duração máxima da sessão), escolha um valor. Ou então, escolha Custom duration (Duração personalizada) e insira um valor (em segundos).

6. Escolha Salvar alterações.

   Suas alterações não terão efeito até que alguém assuma essa função. Para saber como revogar as sessões existentes para a função, consulte Revogação das credenciais de segurança temporárias da função do IAM.

No AWS Management Console, as sessões de usuário do IAM são de 12 horas por padrão. Os usuários do IAM que trocam de perfis no console recebem a duração máxima da sessão da perfil ou o tempo restante na sessão do usuário, o que for menor.

Qualquer pessoa que assuma a função da AWS CLI ou da API da AWS pode solicitar uma sessão mais longa, até esse máximo. A configuração MaxSessionDuration determina a duração máxima da sessão da função que pode ser solicitada.

• Para especificar a duração de uma sessão usando a AWS CLI, use o parâmetro duration-seconds. Para saber mais, consulte Alternância para uma função do IAM (AWS CLI).

• Para especificar a duração de uma sessão usando a API da AWS, use o parâmetro DurationSeconds. Para saber mais, consulte Alternância para uma função do IAM (API da AWS).

Modificar o limite de permissões de uma função (console)

Para alterar o número máximo de permissões permitidas para uma função, modifique o limite de permissões da função.

Para alterar a política usada para definir o limite de permissões para uma função

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, escolha Perfis.

3. Escolha o nome da função com o limite de permissões que você deseja alterar.

4. Escolha a aba Permissões. Se necessário, abra a seção Limite de permissões e, em seguida, escolha Alterar limite.

5. Selecione a política que você deseja usar para o limite de permissões.

6. Escolha Alterar limite.

   Suas alterações não terão efeito até que alguém assuma essa função.