View a markdown version of this page

Configurar permissões do IAM - Amazon Location Service
Etapa 1: criar uma política do IAMEtapa 2: criar uma função de execuçãoPráticas recomendadas de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar permissões do IAM

O Amazon Location Jobs exige uma função de execução do IAM que conceda ao serviço permissão para acessar seus buckets do Amazon S3. Quando você executa um trabalho, o Amazon Location assume essa função de ler arquivos de entrada do seu bucket de entrada e gravar os resultados de saída no bucket de saída em seu nome. Você fornece essas permissões criando uma política do IAM com as permissões necessárias do Amazon S3 e anexando-a a uma função do IAM com uma política de confiança que permite que o serviço de localização da Amazon assuma a função.

nota

Os buckets de entrada e saída do Amazon S3 que você cria devem existir no mesmo Região da AWS local em que você planeja executar seus trabalhos. Os recursos do IAM que você cria devem ser criados na mesma conta.

Etapa 1: criar uma política do IAM

Crie uma política do IAM que conceda as permissões necessárias para trabalhos de localização na Amazon.

Para criar uma política do IAM para trabalhos de localização na Amazon

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Políticas.

  3. Selecione Criar política.

  4. Escolha a guia JSON e insira o seguinte documento de política, substituindo INPUT_BUCKET_NAME e OUTPUT_BUCKET_NAME pelos nomes dos seus buckets:

    {
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket",
        "s3:GetObjectVersion",
        "s3:GetBucketVersioning"
      ],
      "Resource": [
        "arn:aws:s3:::INPUT_BUCKET_NAME",
        "arn:aws:s3:::INPUT_BUCKET_NAME/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::OUTPUT_BUCKET_NAME/*"
      ]
    }
  ]
}

  5. Escolha Próximo.

  6. Em Nome da política, insira um nome descritivo, como LocationJobsS3AccessPolicy.

  7. Selecione Criar política.

A tabela a seguir descreve as permissões concedidas por essa política:

Permissão Description
s3:GetObject Permite que o Amazon Location leia arquivos de entrada do seu bucket de entrada.
s3:ListBucket Permite que a Amazon Location liste arquivos em seu bucket de entrada para identificar todos os arquivos de entrada para processamento.
s3:GetObjectVersion Permite que a Amazon Location acesse versões específicas dos arquivos de entrada. Obrigatório porque o controle de versão deve estar ativado em seus buckets.
s3:GetBucketVersioning Permite que a Amazon Location verifique se o controle de versão está ativado em seu bucket de entrada.
s3:PutObject Permite que a Amazon Location grave os resultados de saída em seu bucket de saída.
s3:AbortMultipartUpload Permite que o Amazon Location limpe uploads de várias partes que falharam ao gravar arquivos de saída grandes.
nota

Essa política segue o princípio do privilégio mínimo, concedendo somente as permissões necessárias para que os Amazon Location Jobs funcionem. A política restringe as permissões de leitura no intervalo de entrada e as permissões de gravação no intervalo de saída.

Para criar uma política do IAM usando o AWS CLI

  1. Crie um arquivo chamado location-jobs-policy.json com o conteúdo a seguir, substituindo INPUT_BUCKET_NAME e OUTPUT_BUCKET_NAME pelos nomes dos seus buckets:

    {
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket",
        "s3:GetObjectVersion",
        "s3:GetBucketVersioning"
      ],
      "Resource": [
        "arn:aws:s3:::INPUT_BUCKET_NAME",
        "arn:aws:s3:::INPUT_BUCKET_NAME/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:AbortMultipartUpload"
      ],
      "Resource": [
        "arn:aws:s3:::OUTPUT_BUCKET_NAME/*"
      ]
    }
  ]
}

  2. Crie a política:

    aws iam create-policy \
    --policy-name LocationJobsS3AccessPolicy \
    --policy-document file://location-jobs-policy.json

  3. Observe o ARN da política na saída. Esse ARN será necessário na próxima etapa.

Etapa 2: criar uma função de execução

Crie uma função do IAM que a Amazon Location assuma para acessar seus buckets do Amazon S3 durante a execução do trabalho.

A política de confiança permite que o serviço de localização da Amazon (geo.amazonaws.com) assuma essa função. Essa relação de confiança é necessária para que a Amazon Location acesse seus buckets do Amazon S3 durante a execução do trabalho.

Para criar uma função de execução para trabalhos de localização na Amazon

  1. No painel de navegação do console do IAM, escolha Roles (Perfis).

  2. Selecione Criar perfil.

  3. Em Trusted entity type (Tipo de entidade confiável), escolha Custom trust policy (Política de confiança personalizada).

  4. Insira a seguinte política de confiança, ACCOUNT_ID substituindo-a pela ID AWS da sua conta:

    {
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "geo.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        }
      }
    }
  ]
}

  5. Escolha Próximo.

  6. Procure e selecione a política que você criou na Etapa 1 (comoLocationJobsS3AccessPolicy).

  7. Escolha Próximo.

  8. Em Nome da função, insira um nome descritivo, comoLocationServiceJobExecutionRole.

  9. Selecione Criar perfil.

Para criar uma função de execução usando o AWS CLI

  1. Crie um arquivo trust-policy.json com o seguinte conteúdo, ACCOUNT_ID substituindo-o pelo ID AWS da sua conta:

    {
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "geo.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "ACCOUNT_ID"
        }
      }
    }
  ]
}

  2. Crie a função:

    aws iam create-role \
    --role-name LocationServiceJobExecutionRole \
    --assume-role-policy-document file://trust-policy.json

  3. Anexe a política que você criou na Etapa 1 (ACCOUNT_IDsubstitua pelo ID AWS da sua conta e LocationJobsS3AccessPolicy pelo nome da política, se for diferente):

    aws iam attach-role-policy \
    --role-name LocationServiceJobExecutionRole \
    --policy-arn arn:aws:iam::ACCOUNT_ID:policy/LocationJobsS3AccessPolicy

  4. Obtenha o ARN da função:

    aws iam get-role \
    --role-name LocationServiceJobExecutionRole \
    --query 'Role.Arn' \
    --output text

  5. Observe o ARN da função na saída. Você precisa desse ARN ao iniciar trabalhos usando o ExecutionRoleArn parâmetro.

Depois de criar a função, anote o ARN da função. Você precisa desse ARN ao iniciar trabalhos usando o ExecutionRoleArn parâmetro. Para obter mais informações, consulte Preparar dados de entrada.

Práticas recomendadas de segurança

Siga estas melhores práticas de segurança ao configurar as permissões do IAM para Amazon Location Jobs:

  • Use um intervalo específico ARNs: substitua os nomes dos intervalos reservados na política pelos nomes reais dos intervalos para restringir o acesso somente aos compartimentos que você pretende usar.

  • Compartimentos de entrada e saída separados: use compartimentos diferentes para entrada e saída para manter uma separação clara das permissões de leitura e gravação.

  • Ativar o controle de versão do bucket do Amazon S3: o versionamento deve estar habilitado em seus buckets. Isso é necessário para que os Amazon Location Jobs funcionem corretamente.

  • Use as políticas de bucket do Amazon S3: adicione políticas de bucket aos seus buckets do Amazon S3 para obter um controle de acesso adicional além das políticas do IAM.

  • Monitore o uso da função: use para monitorar quando e como a função de execução é usada pelo Amazon Location Jobs.