新增服務角色 - AWS Amplify 託管
建立服務角色預防混淆代理人

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

新增服務角色

Amplify 需要使用前端部署後端資源的權限。您會使用服務角色來達成此目標。服務角色是 Amplify 代表您呼叫其他服務時所承擔的 AWS Identity and Access Management (IAM) 角色。在本指南中,您將學習如何建立具有帳戶管理權限的 Amplify 服務角色,並明確地允許直接存取 Amplify 應用程式部署、建立和管理後端所需的資源。

建立服務角色

若要建立服務角色

  1. 開啟 IAM 主控台並從左側導覽列選擇 [角色],然後選擇 [建立角色]。

  2. 選取信任的實體頁面中,選擇 AWS 服務。針對使用案例,選取「Amplify」,然後選擇「下一步」。

  3. Add permissions (新增許可) 頁面上,選擇 Next (下一步)。

  4. 在 [名稱、檢視和建立] 頁面上,為 [角色名稱] 輸入有意義的名稱,例如AmplifyConsoleServiceRole-AmplifyRole

  5. 接受所有預設值,然後選擇建立角色

  6. 返回 Amplify 主控台,將角色附加至您的應用程式。

    • 如果您正在部署新應用程式

      1. 重新整理服務角色清單。

      2. 選取您剛建立的角色。在這個例子中,它應該看起來像 AmplifyConsoleServiceRole-AmplifyRole

      3. 選擇 [下一步],然後依照步驟完成應用程式部署。

    • 如果您有現有的應用程式

      1. 在導覽窗格中,選擇應用程式設定,然後選擇一般設定

      2. [一般設定] 頁面上,選擇 [編輯]。

      3. 在 [編輯一般設定] 頁面上,從 [服務角色] 清單中選取您剛建立的角色

      4. 選擇儲存

  7. Amplify 主控台現在具有為您的應用程式部署後端資源的權限。

預防混淆代理人

混淆代理人問題屬於安全性議題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。如需詳細資訊,請參閱 預防跨服務混淆代理人

目前,Amplify-Backend Deployment服務角色的預設信任原則會強制執行aws:SourceArnaws:SourceAccount全域內容條件索引鍵,以防止混淆副手。但是,如果您先前在帳戶中建立了Amplify-Backend Deployment角色,則可以更新角色的信任政策以新增這些條件,以防止混淆的副手。

請使用下列範例來限制帳戶中應用程式的存取權限。將範例中的 [地區] 和 [應用程式 ID] 取代為您自己的資訊。

"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

如需使用編輯角色信任政策的指示 AWS Management Console,請參閱 IAM 使用者指南中的修改角色 (主控台)