Etapa 1: Fazer login no console do IAM Etapa 2: Criar função do Amplify Etapa 3: Retornar ao console do Amplify Prevenção de ‘confused deputy’

Adicionar uma função de serviço

O Amplify exige permissões para implantar recursos de back-end com seu front-end. Você usa uma função de serviço para fazer isso. Uma função de serviço é uma função doAWS Identity and Access Management (IAM) que o console do (IAM) que o Amplify assume ao chamar outros serviços em seu nome. Neste guia, você criará uma função de serviço do Amplify que tem permissões administrativas de conta e permite explicitamente acesso direto aos recursos que os aplicativos do Amplify exigem para implantar qualquer recurso do Amplify Studio ou CLI e criar e gerenciar back-ends. Para obter mais informações sobre o Amplify Studio, consulte Introdução nos documentos do Amplify. Para obter mais informações sobre a CLI do Amplify, consulte Amplify CLI nos documentos do Amplify.

Abra o console do IAM e escolha Funções na barra de navegação esquerda e escolha Criar função.

Etapa 2: Criar função do Amplify

Na tela de seleção de função, localize Amplify e escolha a função Amplify-Backend Deployment. Aceite todos os padrões e escolha um nome para sua função, como AmplifyConsoleServiceRole-AmplifyRole.

Etapa 3: Retornar ao console do Amplify

Abra o console do Amplify. Se você estiver implantando um novo aplicativo, escolha atualizar e escolha a função que você acabou de criar. Deve ser parecido com AmplifyConsoleServiceRole-AmplifyRole.

Se você já tem um aplicativo, pode encontrar a função de serviço em App settings > General (Configurações de aplicativo > Geral) e escolher Edit (Editar) no canto superior direito da caixa. Escolha a função de serviço que você acabou de criar na lista suspensa e escolha Save (Salvar).

O console do Amplify agora tem permissões para implantar recursos de back-end.

Prevenção de ‘confused deputy’

O problema do substituto confuso é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Para obter mais informações, consulte Prevenção contra o ataque “Confused deputy” em todos os serviços.

Atualmente, a política de confiança padrão para a funçãoAmplify-Backend Deployment de serviço impõe as chavesaws:SourceArn de condição de contextoaws:SourceAccount global para evitar que um representante confuso. No entanto, se você já criou umaAmplify-Backend Deployment função em sua conta, pode atualizar a política de confiança da função para adicionar essas condições para se proteger contra delegados confusos.

Use o exemplo a seguir para restringir o acesso aos aplicativos em sua conta. Substitua o texto em itálico em vermelho no exemplo por suas próprias informações.


"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

Para obter instruções sobre como editar a política de confiança de uma função usando oAWS Management Console, consulte Modificar uma função (console) no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Construções personalizadas

Gerenciando o desempenho do aplicativo