Etapa 1: fazer o login no console do IAM Etapa 2: Criar perfil do Amplify Etapa 3: Retornar ao console do Amplify Prevenção de ‘confused deputy’

Adicionar um perfil de serviço

O Amplify exige permissões para implantar recursos do back-end com o front-end. Você usa um perfil de serviço para fazer isso. Um perfil de serviço é um perfil do (IAM) AWS Identity and Access Management que o Amplify assume ao chamar outros serviços em seu nome. Neste guia, você criará um perfil de serviço do Amplify que tem permissões administrativas da conta e permite explicitamente acesso direto aos recursos que os aplicativos do Amplify exigem para implantar qualquer recurso do Amplify Studio ou CLI e criar e gerenciar back-ends. Para obter mais informações sobre o Amplify Studio, consulte Introdução na documentação do Amplify. Para obter mais informações sobre o Amplify CLI, consulte Amplify CLI na documentação do Amplify.

Faça login no console do IAM e escolha Perfis na barra de navegação à esquerda e escolha Criar perfil.

Etapa 2: Criar perfil do Amplify

Na tela de seleção perfil, encontre Amplify e selecione a perfil Implantação de back-end do Amplify. Aceite todos os padrões e escolha um nome para o seu perfil, por exemplo, AmplifyConsoleServiceRole-AmplifyRole.

Etapa 3: Retornar ao console do Amplify

Abra o console do Amplify. Se você estiver implantando um novo aplicativo, escolha atualizar e escolha a função que você acabou de criar. Ela deve ser semelhante a AmplifyConsoleServiceRole-AmplifyRole.

Captura de tela da lista suspensa na qual você pode escolher o perfil de serviço.

Se você já tem um aplicativo, pode encontrar o perfil de serviço em Configurações do aplicativo > Geral e escolher Editar no canto superior direito da caixa. Escolha o perfil de serviço que você acabou de criar na lista suspensa e escolha Salvar.

Captura de tela da seção Editar configurações da aplicação com a seleção do perfil de serviço em destaque.

Agora, o console do Amplify tem permissões para implantar recursos do back-end.

Prevenção de ‘confused deputy’

O problema “confused deputy” é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Para obter mais informações, consulte Prevenção contra o ataque “Confused deputy” entre serviços.

Atualmente, a política de confiança padrão para o Amplify-Backend Deployment perfil de serviço impõe aws:SourceArn e aws:SourceAccount chaves de condição de contexto global para prevenir deputados confusos. No entanto, se você já criou uma função Amplify-Backend Deployment em sua conta, pode atualizar a política de confiança do perfil para adicionar essas condições para se proteger contra delegados confusos.

Use o exemplo a seguir para restringir o acesso aos aplicativos em sua conta. Substitua o texto em vermelho e itálico no exemplo por suas próprias informações.


"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

Para obter instruções sobre como editar a política de confiança de um perfil usando oAWS Management Console, consulte Modificar um perfil (console) no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Compilações personalizadas

Gerenciar desempenho do aplicativo