Início / server / Perguntas / 1066180
Accepted
spinkus
Asked: 2021-06-10 06:28:10 +0800 CST

Funções do AWS IAM: o que é exatamente uma entidade confiável?

  • 772

Eu tenho uma função anexada a um LaunchConfiguration para uma instância do EC2, que fornece privilégios à instância do EC2 para fazer certas coisas, como fazer logs do Cloudwatch (o contexto não é importante para a pergunta). No Cloudformation, o papel se parece com:

    Type: 'AWS::IAM::Role'
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
        - Effect: Allow
          Principal:
            Service: 'ec2.amazonaws.com'
          Action: 'sts:AssumeRole'
      Policies: ...

Se eu visualizar a função no console da AWS, em "Relações de confiança", ele diz "Entidades confiáveis: o(s) provedor(es) de identidade ec2.amazonaws.com" :

insira a descrição da imagem aqui

Presumo que o Cloudformation AssumeRolePolicyDocument.Principal.Servicemapeia para a "Trusted Entity" no console (que, aliás, é uma maneira estranha de nomear as coisas, porque li "Principal" como tendo um significado diferente no IAM, mas enfim... ). Estou forçando meu cérebro tentando juntar o que está acontecendo. Minhas perguntas são:

  1. O que exatamente é uma "entidade confiável" do IAM?
  2. Como é que a entidade 'ec2.amazonaws.com' "assume o papel"? O conceito do serviço 'ec2.amazonaws.com' assumindo que o rolo simplesmente não funciona comigo.
  3. Em que sentido a entidade 'ec2.amazonaws.com' está "fornecendo identidades"?
  4. Onde posso encontrar uma lista completa dessas chamadas entidades confiáveis?
amazon-web-services amazon-iam

1 respostas

  1. Best Answer
    1. Uma entidade confiável é o serviço que pode assumir qualquer função. Se você tornar o EC2 a entidade confiável, não poderá assumir a função para usar as permissões, o lambda não poderá assumir a função, apenas uma instância do EC2. A maioria dos serviços na AWS recebe permissões assumindo funções. Muitos serviços podem configurar isso automaticamente para você, o que é comum quando as pessoas estão aprendendo AWS. Quando você está trabalhando em ambientes seguros, a configuração de funções e permissões se torna bastante crítica. Por exemplo, se você conceder ao EC2 uma função com permissões de administrador e alguém comprometer a instância, eles efetivamente terão direitos de administrador em sua conta da AWS, e é por isso que você concede menos permissões a todos os recursos/funções.
    2. Ao configurar um recurso como uma instância do EC2 ou uma função do Lambda (etc), você informa qual função assumir. Essa instância/função/etc do EC2 tem as permissões associadas à função.
    3. Isso significa apenas que uma instância do EC2 pode assumir essa função. Quando uma instância do EC2 é iniciada, ela identifica a função que deseja assumir. O IAM valida se a função tem permissão para assumir essa função e a instância tem permissão para iniciar.
    4. Há uma lista de principais de serviço da AWS aqui . Quando você clica em "criar função" no console, obtém uma lista de entidades confiáveis. Quando preciso de um para colocar no meu CloudFormation, basta clicar nele e copiá-lo e colá-lo do json.

    O AssumeRolePolicyDocument especifica quem pode assumir a função. Eu suspeito que você pode especificar que várias entidades podem assumir uma função, mas na prática eu escrevo uma função para cada serviço.

    Você pode pensar em funções do IAM semelhantes às funções que as pessoas têm. Meu papel como "arquiteto da empresa XYZ" me dá permissão para entrar no escritório, fazer login no sistema, esse tipo de coisa. Se eu assumir um papel como, digamos, um policial, tenho direitos adicionais, como entrar em uma delegacia de polícia, prender pessoas, etc.

    • 2

relate perguntas