Tipos de papéis da AWS
Existem quatro tipos de funções que podemos criar na AWS, que são os seguintes:
Função de serviço da AWS
As funções de serviço da AWS são funções mais usadas quando você deseja que um serviço da AWS tenha permissões para acessar outro serviço da AWS em seu nome. A função de serviço da AWS pode ser anexada a uma instância do EC2, funções lambda ou qualquer outro serviço da AWS.
Outra função da conta da AWS
Isso é simplesmente usado para permitir o acesso de uma conta da AWS para outra conta da AWS.
Função de identidade da web
Essa é uma maneira de permitir que usuários que não estejam na sua conta da AWS (não usuários do IAM) acesse os serviços da AWS em sua conta da AWS. Portanto, usando as funções de identidade da web que esses usuários podem usar os serviços da AWS em sua conta.
Saml 2.0 papel da federação
Essa função é usada para fornecer acesso a usuários específicos para gerenciar e acessar sua conta AWS se eles forem federados com SAML 2.0. Saml 2.0 é um protocolo que pode fornecer autenticação e autorização entre domínios de segurança.
Criando papéis do IAM
Nesta seção, vamos ver como você pode criar papéis IAM usando os seguintes métodos.
Criação de papel do IAM usando o console de gerenciamento
Faça login na sua conta da AWS e na barra de pesquisa superior, digite IAM.
Selecione a opção IAM no menu de pesquisa. Isso o levará ao seu painel IAM. Clique nas funções no painel lateral esquerdo para gerenciar o IAM Papéis Na sua conta.
Clique em Criar papel botão para criar uma nova função em sua conta.
Na seção Criar função, primeiro você precisa selecionar o tipo de função que deseja criar. Neste artigo, vamos discutir apenas Serviço da AWS funções como são o tipo de função mais comum e frequentemente usado.
Agora, você precisa selecionar o serviço da AWS para o qual deseja criar a função. Há uma longa lista de serviços disponíveis aqui e vamos ficar com o EC2.
Para dar uma função a permissão desejada que você deseja, você precisa anexar uma política de IAM à função, como uma política do IAM é anexada aos usuários do IAM para conceder -lhes permissões. Essas políticas são documentos JSON com declarações únicas ou múltiplas. Você pode usar políticas gerenciadas da AWS ou criar suas próprias políticas personalizadas. Para esta demonstração, anexaremos uma política gerenciada da AWS que concede apenas a permissão de leitura para S3.
Em seguida, você precisa adicionar tags, se quiser, e esta é uma etapa totalmente opcional.
Por fim, revise os detalhes sobre a função que você está criando e adicione o nome para sua função. Em seguida, clique no botão Criar função no canto inferior direito do console.
Então, você criou com sucesso um papel na AWS e esse papel pode ser encontrado na seção de papéis do iam Console.
Anexe a função ao serviço
Até agora, criamos um papel de IAM, agora veremos como podemos anexar esse papel a um serviço da AWS para conceder permissões. Como criamos uma função EC2, ele só pode ser anexado a uma instância do EC2.
Para anexar uma função de IAM a uma instância do EC2, primeiro crie uma instância do EC2 em sua conta AWS. Depois de criar uma instância do EC2, vá para o console do EC2.
Clique no ações guia, escolha Segurança Na lista e clique na função Modify IAM.
Na seção Modify IAM função, selecione a função da lista que deseja atribuir e simplesmente clique em Salvar botão.
Depois disso, se você deseja verificar se a função está realmente anexada à sua instância, basta procurá -la na seção de resumo.
Criação de função do IAM usando a interface da linha de comando
Os papéis do IAM podem ser criados usando a interface da linha de comando, e esse é o método mais comum do ponto de vista dos desenvolvedores que prefere usar o CLI sobre o console de gerenciamento. Para a AWS, você pode configurar CLI no Windows, Mac, Linux ou simplesmente você pode usar a AWS CloudShell. Primeiro, faça login na conta de usuário da AWS usando suas credenciais e para criar uma nova função, basta seguir o procedimento a seguir.
Crie um arquivo de Política de Relacionamento de Teste ou Confiança usando o seguinte comando no terminal.
$ vim Demo_policy.JSON
No editor, cole a política do IAM que você deseja anexar ao papel do IAM.
[[
"Versão": "2012-10-17",
"Declaração": [
"Efeito": "permitir",
"Diretor":
"Serviço": "EC2.Amazonaws.com "
,
"Ação": "STS: PUSPEROLE"
]
]
Depois de copiar a política do IAM, salve e saia do editor. Para ler a política do arquivo, use o gato comando.
$ cat
Agora, finalmente você pode criar sua função de IAM usando o seguinte comando.
$ aws iam create-role--name --sume-role-policy-document arquivo: //
Este comando criará o papel do IAM e anexará a política do IAM definida no documento JSON à função.
A política do IAM anexada ao papel do IAM pode ser alterada usando o seguinte comando no terminal.
$ aws iam Anex-role-policy--name--Política-Ana
Para listar a política anexada à função do IAM, use o seguinte comando no terminal.
$ AWS IAM LISTA-ATRIBUILADORES Políticas-Role-Nome
Anexe a função ao serviço
Depois de criar a função do IAM, anexe o função IAM recém -criada ao serviço da AWS. Aqui, vamos anexar o papel a uma instância do EC2.
Para anexar uma função a uma instância do EC2, primeiro precisamos criar um perfil de instância usando o seguinte comando da CLI.
$ aws iam Create-Instance Perfil-Instance-Profile-Name
Agora, anexe a função ao perfil da instância
$ aws iam add-role-to-Instance-perfil--instance-perfil-name> nome<--role-name>nome<
Finalmente, agora vamos anexar este perfil de instância à nossa instância do EC2. Para isso, precisamos do seguinte comando:
$ AWS EC2 Associado-Im-Instance-Profile-Instance-Id--Nome de perfil iam-Instance =
Para listar associações de perfil de instância do IAM, use o seguinte comando no terminal.
$ AWS EC2 Descreva
Conclusão
Gerenciar papéis do IAM é um dos conceitos básicos na AWS Cloud. Os papéis do IAM podem ser usados para autorizar o serviço da AWS para acessar outro serviço da AWS em seu nome. Eles também são importantes para manter seus recursos da AWS seguros, atribuindo permissões específicas aos serviços da AWS de que precisam. Essas funções também podem ser usadas para permitir que os usuários do IAM de outras contas da AWS usem recursos da AWS em sua conta da AWS. As funções de iam usam políticas de iam para atribuir permissões aos serviços da AWS com os quais estão anexados. Este blog descreve o procedimento passo a passo para criar funções de IAM usando o AWS Management Console e a AWS Command Line Interface.