# Solução de problemas de identidade e acesso do Amazon Elastic Container Service
<a name="security_iam_troubleshoot"></a>

Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Amazon ECS e o IAM.

**Topics**
+ [Não tenho autorização para executar uma ação no Amazon ECS](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a executar iam:PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que as pessoas fora da minha Conta da AWS acessem meus recursos do Amazon ECS](#security_iam_troubleshoot-cross-account-access)
+ [Estou tendo problemas com meu perfil de instância para instâncias gerenciadas do Amazon ECS](#security_iam_instance-profile)
+ [Recursos adicionais para solução de problemas](#security_iam_troubleshoot-additional-errors)

## Não tenho autorização para executar uma ação no Amazon ECS
<a name="security_iam_troubleshoot-no-permissions"></a>

Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.

O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `{{my-example-widget}}` fictício, mas não tem as permissões `ecs:{{GetWidget}}` fictícias.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ecs:{{GetWidget}} on resource: {{my-example-widget}}
```

Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `{{my-example-widget}}` usando a ação `ecs:{{GetWidget}}`.

Se você precisar de ajuda, entre em contato com seu administrador AWS. Seu administrador é a pessoa que forneceu suas credenciais de login.

## Não estou autorizado a executar iam:PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se receber uma mensagem de erro informando que você não tem autorização para executar a ação `iam:PassRole`, suas políticas devem ser atualizadas para permitir a transmissão de um perfil ao Amazon ECS.

Alguns Serviços da AWS permitem que você passe um perfil existente para o serviço, em vez de criar um perfil de serviço ou perfil vinculado ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.

O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada de `marymajor` tenta usar o console para executar uma ação no Amazon ECS. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.

Se você precisar de ajuda, entre em contato com seu administrador AWS. Seu administrador é a pessoa que forneceu suas credenciais de login.

Se você usar instâncias gerenciadas do Amazon ECS e receber esse erro, o nome do perfil da sua instância pode não corresponder à convenção de nomenclatura exigida pela política gerenciada. Para obter mais informações, consulte [Estou tendo problemas com meu perfil de instância para instâncias gerenciadas do Amazon ECS](#security_iam_instance-profile).

## Quero permitir que as pessoas fora da minha Conta da AWS acessem meus recursos do Amazon ECS
<a name="security_iam_troubleshoot-cross-account-access"></a>

É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem compatibilidade com políticas baseadas em recursos ou listas de controle de acesso (ACLs), é possível usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte:
+ Para saber se o Amazon ECS oferece suporte a esses recursos, consulte [Como o Amazon Elastic Container Service funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como conceder acesso a seus recursos em todas as Contas da AWS pertencentes a você, consulte [Fornecimento de acesso a um usuário do IAM em outra Conta da AWS pertencente a você](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia de usuário do IAM*.
+ Para saber como conceder acesso a seus recursos para Contas da AWS de terceiros, consulte [Fornecimento de acesso a Contas da AWS pertencentes a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Estou tendo problemas com meu perfil de instância para instâncias gerenciadas do Amazon ECS
<a name="security_iam_instance-profile"></a>

Se você usar a política gerenciada `AmazonECSInfrastructureRolePolicyForManagedInstances`, o nome do perfil da instância deverá começar com `ecsInstanceRole`. A política abrange os escopos de `iam:PassRole` a `arn:aws:iam::*:role/ecsInstanceRole*`; portanto, um nome incompatível causa um erro de autorização ao iniciar a tarefa.

Isso é comum com o CloudFormation quando você omite `RoleName` do seu recurso `AWS::IAM::Role`, pois nomes CloudFormation gerados automaticamente como `MyStack-InstanceRole-ABC123` não correspondem à condição da política.

Para resolver esse problema, execute um dos seguintes procedimentos:
+ Adicione `RoleName: ecsInstanceRole` ao seu recurso `AWS::IAM::Role` para que o nome corresponda à política gerenciada.
+ Adicione uma política inline `iam:PassRole` explícita ao seu perfil de infraestrutura direcionada ao ARN do perfil da instância.

Para obter modelos e etapas detalhadas do CloudFormation, consulte [Criar o perfil de instância usando a CloudFormation](managed-instances-instance-profile.md#create-instance-profile-cfn).

## Recursos adicionais para solução de problemas
<a name="security_iam_troubleshoot-additional-errors"></a>

As seguintes páginas fornecem informações sobre códigos de erro:
+  [Mensagens de erro de tarefa interrompida do Amazon ECS](stopped-task-error-codes.md) 
+  [Visualizar mensagens de eventos de serviço do Amazon ECS](service-event-messages.md)