# Gerenciamento de identidade e acesso do Network Synthetic Monitor
<a name="networkmonitoring-iam"></a>

O AWS Identity and Access Management (IAM) é um serviço da AWS que ajuda administradores a controlar o acesso aos recursos da AWS de forma segura. Os administradores do IAM controlam quem pode ser autenticado (fazer login) e autorizado (ter permissões) para usar os recursos do Network Synthetic Monitor. O IAM é um serviço da AWS que pode ser usado sem custo adicional. Você pode usar recursos do IAM para permitir que outros usuários, serviços e aplicações usem seus recursos da AWS totalmente ou de maneira limitada, sem compartilhar suas credenciais de segurança.

Por padrão, os usuários do IAM não têm permissão para criar, visualizar ou modificar os recursos da AWS. Para permitir que um usuário do IAM acesse recursos, como uma rede global, e execute tarefas, veja o que é necessário fazer:
+ Criar uma política do IAM que conceda permissão ao usuário para usar os recursos específicos e ações de API de que ele precisa
+ Anexar a política ao usuário do IAM ou ao grupo ao qual o usuário pertence

Quando você anexa uma política a um usuário ou a um grupo de usuários, isso concede ou nega ao usuário permissões para realizar as tarefas especificadas nos recursos especificados.

## Chaves de condição
<a name="nw-monitor-condition-keys"></a>

O elemento `Condition` (ou bloco Condition) permite que você especifique condições nas quais uma instrução está em vigor. O elemento Condition é opcional. É possível criar expressões condicionais que usam operadores de condição, como "igual a" ou "menor que", para fazer a condição da política corresponder aos valores na solicitação. Para obter mais informações, consulte [Elementos de política JSON do IAM: operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) no *Guia do usuário do AWS Identity and Access Management*.

Se você especificar vários elementos de `Condition` em uma declaração ou várias chaves em um único elemento de `Condition`, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, a AWS avaliará a condição usando uma operação lógica `OR`. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.

Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, é possível conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com seu nome de usuário do IAM. 

Você pode anexar tags a recursos do Network Synthetic Monitor ou passar tags em uma solicitação ao Cloud WAN. Para controlar o acesso baseado em tags, forneça informações sobre as tags no elemento de condição de uma política usando as chaves de condição `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Consulte [Elementos de política JSON do IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do AWS Identity and Access Management* para obter mais informações. 

Para ver todas as chaves de condição globais da AWS, consulte [Chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do AWS Identity and Access Management*.

## Marcar os principais recursos da rede
<a name="nw-security-tag-resources"></a>

Uma tag é um rótulo de metadados que você ou a AWS atribui a um recurso da AWS. Cada tag consiste em uma chave e um valor. Para tags atribuídas por você, é possível definir a chave e o valor. Por exemplo, você pode definir a chave como `purpose` e o valor como `test` para um recurso. As tags ajudam você a fazer o seguinte:
+ Identificar e organizar seus recursos da AWS. Muitos serviços da AWS oferecem suporte à marcação para que você possa atribuir a mesma tag a recursos de diferentes serviços para indicar que os recursos estão relacionados. 
+ Controle o acesso aos recursos da AWS. Para obter mais informações, consulte [Controlar o acesso a recursos da AWS usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do AWS Identify and Access Management*.

## Excluir a função vinculada ao serviço
<a name="delete-service-linked-role"></a>

Caso não precise mais usar o Network Synthetic Monitor, recomendamos excluir o perfil `AWSServiceRoleForNetworkMonitor`. 

Você só pode excluir esses perfis vinculados ao serviço depois de excluir os monitores. Para obter mais informações, consulte [Excluir um monitor](https://docs.aws.amazon.com/ ).

É possível usar o console, a CLI ou a API do IAM para excluir funções vinculadas ao serviço. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

Após a exclusão de `AWSServiceRoleForNetworkMonitor `, o Network Synthetic Monitor criará novamente o perfil quando você criar um monitor.