Configurar função do AWS IAM

Uma função do IAM permite que a New Relic assuma credenciais temporárias em sua conta da AWS sem exigir chaves de acesso permanentes. Essa abordagem oferece várias vantagens:

As credenciais são rotacionadas automaticamente.
O acesso é limitado no tempo, conforme projetado.
Todas as ações são registradas no AWS CloudTrail.
Alinha-se com as práticas de segurança recomendadas AWS

Pré-requisitos

Antes de criar uma função do IAM, certifique-se de ter:

Uma conta da AWS com permissão para criar funções do IAM
Seu ID da conta New Relic
Acesso de administrador ao Console do AWS IAM

Configurar a função do IAM

Crie a função na AWS.

Faça login no Console do AWS IAM.
Navegue até Roles e clique em Create role
Em Trusted entity type, selecione AWS account
Selecione Another AWS account
No campo Account ID, insira: 253490767857
Em Options, marque a Require external ID.
No campo External ID, insira o ID da sua conta New Relic e clique em Next.
- Não tem? Encontre seu ID de conta aqui.
Na página Add permissions, anexe políticas com base em seus fluxos de trabalho. Por exemplo:
- Para fluxo de trabalho EC2: anexe AmazonEC2ReadOnlyAccess ou crie uma política personalizada
- Para fluxo de trabalho SQS: Anexe AmazonSQSFullAccess ou limite a filas específicas
- Para outros serviços, consulte exemplos de políticas da AWS
Clique em Next.
Digite um nome para a função: NewRelicWorkflowAutomationRole (ou o nome de sua preferência)
Opcionalmente, adicione uma descrição: Permite que a automação de fluxo de trabalho do New Relic execute ações na AWS e clique em Create role.

Verifique a política de confiança.

Após criar a função, verifique a relação de confiança:

No console do IAM, selecione a função recém-criada.
Clique na aba Trust relationships.
Confirme se a política corresponde a esta estrutura (substitua <YOUR_NR_ACCOUNT_ID> pelo seu ID de conta real):
```
{
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "sts:AssumeRole",
              "Principal": {
                  "AWS": "arn:aws:iam::253490767857:root"  ← Must be this account
              },
              "Condition": {
                  "StringEquals": {
                      "sts:ExternalId": "<YOUR_NR_ACCOUNT_ID>"  ← Must match your NR account
                  }
              }
          }
      ]
  }
```
O que verificar

A conta Principal da AWS é 253490767857 (conta da New Relic)
O ID externo corresponde exatamente ao ID da sua conta New Relic
A ação é sts:AssumeRole
Cuidado
A política de confiança não corresponde? Se o ID da conta for diferente, exclua a função e recrie-a. O ID da conta deve ser 253490767857.

Copie o ARN da sua função.

Você precisará do ARN da função para configurar fluxos de trabalho.

Importante

ARNs de função são identificadores de recursos, não credenciais confidenciais. Não os armazene no gerenciador de segredos—cole-os diretamente nas configurações do workflow.

Para obter o ARN da sua função:

No console do IAM, selecione sua função.
Na seção Summary, localize o campo ARN.
Copie o ARN completo — ele tem a seguinte aparência: arn:aws:iam::123456789012:role/NewRelicWorkflowAutomationRole
A função agora está pronta. Use o ARN nos seus fluxos de trabalho.

Visão geral das credenciais da AWS

Compare a função do IAM com outros métodos de autenticação

Exemplos de políticas da AWS

Encontre as permissões do IAM adequadas para seus fluxos de trabalho

Configuração de usuário IAM

Alternativa: Use um usuário do IAM para ambientes de teste

Exemplo de gerenciamento do EC2

Veja as funções do IAM em ação com fluxos de trabalho do EC2

Esta tradução de máquina é fornecida para sua comodidade.

Pré-requisitos.css-21sua1{background:none;border:none;width:0;padding:0;}