# Criar funções e anexar políticas (console)
<a name="access_policies_job-functions_create-policies"></a>

Várias das políticas previamente listadas concedem a capacidade de configurar serviços da AWS com funções que permitem que esses serviços executem operações em seu nome. As políticas de função de trabalho especificam nomes de função exatos que você deve usar ou, no mínimo, incluem um prefixo que especifica a primeira parte do nome que pode ser usado. Para criar uma dessas funções, execute as etapas no procedimento a seguir.

**Para criar uma função para um AWS service (Serviço da AWS) (console do IAM)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.

1. Em **Tipo de entidade confiável**, escolha **AWS service (Serviço da AWS)**.

1. Para **Serviço ou caso de uso**, escolha um serviço e, em seguida, escolha o caso de uso. Casos de uso são definidos pelo serviço para incluir a política de confiança exigida pelo serviço.

1. Escolha **Próximo**.

1. As opções para **Políticas de permissões** dependem do caso de uso selecionado.
   + Se o serviço definir as permissões para o perfil, não será possível selecionar políticas de permissões.
   + Selecione em um conjunto limitado de políticas de permissões.
   + Selecione entre todas as políticas de permissões.
   + Não selecione nenhuma política de permissão; crie políticas após a criação do perfil e, em seguida, anexe as políticas ao perfil.

1. (Opcional) Defina um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.

   1. Abra a seção **Definir limite de permissões** e escolha **Usar um limite de permissões para controlar o número máximo de permissões do perfil**. 

      O IAM inclui uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta.

   1. Selecione a política a ser usada para o limite de permissões.

1. Escolha **Próximo**.

1. Para **Nome do perfil**, as opções dependem do serviço:
   + Se o serviço definir o nome do perfil, não será possível editar esse nome.
   + Se o serviço definir um prefixo para o nome do perfil, você poderá inserir um sufixo opcional.
   + Se o serviço definir o nome do perfil, você poderá atribuir um nome ao perfil.
**Importante**  
Quando nomear um perfil, observe o seguinte:  
Os nomes do perfil devem ser exclusivos em sua Conta da AWS e não podem ser diferenciados caso a caso.  
Por exemplo, não crie dois perfis denominados **PRODROLE** e **prodrole**. Quando usado em uma política ou como parte de um ARN, o nome de perfil diferencia maiúsculas de minúsculas. No entanto, quando exibido para os clientes no console, como durante o processo de login, o nome de perfil diferencia maiúsculas de minúsculas.
Não é possível editar o nome do perfil depois de criá-lo porque outras entidades podem referenciar o perfil.

1. (Opcional) Em **Descrição**, insira uma descrição para o perfil.

1. (Opcional) Para editar os casos de uso e as permissões do perfil, escolha **Editar** nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: adicionar permissões**.

1. (Opcional) Para ajudar a identificar, organizar ou pesquisar o perfil, adicione tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Tags para recursos do AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Reveja a função e escolha **Criar função**.

## Exemplo 1: Configuração de um usuário como um administrador de banco de dados (console)
<a name="jf_example_1"></a>

Este exemplo mostra as etapas necessárias para configurar Alice, uma usuária do IAM, como [administrador de banco de dados](access_policies_job-functions.md#jf_database-administrator). É possível usar as informações na primeira linha da tabela na seção e permitir que o usuário habilite o monitoramento do Amazon RDS. Anexe a política [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator) ao usuário do IAM de Alice para que ela possa gerenciar os serviços de banco de dados da Amazon. Essa política também permite que Alice passe ao serviço Amazon RDS um perfil denominado `rds-monitoring-role` que permite que o serviço monitore os bancos de dados do Amazon RDS em nome dela.

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Selecione **Políticas**, digite **database** na caixa de pesquisa e pressione enter.

1. Marque o botão de seleção da política **DatabaseAdministrator**, escolha **Ações** e depois **Anexar**.

1. Na lista de usuários, selecione **Alice** e depois escolha **Anexar política**. Alice agora pode administrar bancos de dados da AWS. No entanto, para permitir que Alice monitore esses bancos de dados, você deve configurar a função de serviço.

1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.

1. Escolha o tipo de perfil **Serviço da AWS** e escolha **Amazon RDS**.

1. Escolha o caso de uso **Amazon RDS Role for Enhanced Monitoring** (Função do Amazon RDS para monitoramento avançado).

1. O Amazon RDS define as permissões para a função. Escolha **Próximo: Revisar** para continuar.

1. O nome da função deve ser um dos nomes especificados pela política DatabaseAdministrator que Alice agora possui. Um deles é **rds-monitoring-role**. Insira esse nome em **Role name** (Nome do perfil).

1. (Opcional) Em **Descrição do perfil**, insira uma descrição para o novo perfil.

1. Após revisar os detalhes, selecione **Create role** (Criar função).

1. Alice agora pode habilitar o **RDS Enhanced Monitoring** (Monitoramento avançado do RDS) na seção **Monitoring** (Monitoramento) do console do Amazon RDS. Por exemplo, ela poderia fazer isso ao criar uma instância de banco de dados ou uma réplica de leitura, ou ao modificar uma instância de banco de dados. Ela deve inserir o nome do perfil que criou (rds-monitoring-role) na caixa **Monitoring Role** (Perfil de monitoramento) quando definir **Enable Enhanced Monitoring** (Habilitar monitoramento avançado) como **Yes** (Sim). 

## Exemplo 2: Configuração de um usuário como um administrador de rede (console)
<a name="jf_example_2"></a>

Este exemplo mostra as etapas necessárias para configurar Jorge, um usuário do IAM, como [administrador da rede](access_policies_job-functions.md#jf_network-administrator). O exemplo usa as informações da tabela nessa seção para permitir que Jorge monitore o tráfego de IP entrando e saindo de uma VPC. Permite também que Jorge capture essas informações nos logs do CloudWatch Logs. Anexe a política [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator) ao usuário do IAM de Jorge para que ele possa configurar os recursos de rede da AWS. Essa política também permitirá que Jorge passe um perfil cujo nome começa com `flow-logs*` para o Amazon EC2 quando você criar um log de fluxo. Nesse cenário, ao contrário do Exemplo 1, não há um tipo de função de serviço predefinido; portanto, você deve realizar algumas etapas de forma diferente.

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, selecione **Políticas** e insira **network** na caixa de pesquisa, depois pressione enter.

1. Marque o botão de seleção ao lado da política **NetworkAdministrator**, escolha **Ações** e depois escolha **Anexar**.

1. Na lista de usuários, marque a caixa de seleção ao lado de **Jorge** e selecione **Anexar política**. Jorge agora pode administrar os recursos de rede da AWS. No entanto, para habilitar o monitoramento de tráfego de IP em sua VPC, você deve configurar a função de serviço.

1. Como a função de serviço que você precisa criar não tem uma política gerenciada predefinida, você deve primeiro criá-la. No painel de navegação, selecione **Políticas** e, em seguida, **Criar política**.

1. Na seção **Editor de políticas**, escolha a opção **JSON** e copie o texto do documento da política JSON a seguir. Cole este texto na caixa de texto do **JSON**. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }
   ```

------

1.  Resolva os avisos de segurança, as mensagens erros ou os avisos gerais gerados durante a [validação de política](access_policies_policy-validator.md), e depois escolha **Próximo**. 
**nota**  
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Avançar** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Reestruturação da política](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Na página **Revisar e criar**, digite **vpc-flow-logs-policy-for-service-role** para o nome da política. Revise **Permissões definidas nessa política** para ver as permissões concedidas pela política e depois escolha **Criar política** para salvar seu trabalho.

   A nova política aparece na lista de políticas gerenciadas e está pronta para ser anexada.

1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.

1. Escolha o tipo de perfil **Serviço da AWS** e escolha **Amazon EC2**.

1. Selecione o caso de uso **Amazon EC2**.

1. Na página **Anexar políticas de permissão**, selecione a política que você criou anteriormente, **vpc-flow-logs-policy-for-service-role** e, em seguida, selecione **Próxima: Revisar**.

1. O nome da função deve ser permitido pela política NetworkAdministrator que Jorge agora tem. Qualquer nome que comece com `flow-logs-` é permitido. Neste exemplo, insira **flow-logs-for-jorge** em **Role name** (Nome do perfil).

1. (Opcional) Em **Descrição do perfil**, insira uma descrição para o novo perfil.

1. Após revisar os detalhes, selecione **Create role** (Criar função).

1. Agora você pode configurar a política de confiança necessária para este cenário. Na página **Perfis**, selecione o perfil **flow-logs-for-jorge** (o nome, não a caixa de seleção). Na página de detalhes para a sua nova função, selecione a guia **Relações de confiança** e, em seguida, selecione **Editar relação de confiança**.

1. Altere o "Serviço" para ler da seguinte forma, substituindo a entrada por `ec2.amazonaws.com`:

   ```
           "Service": "vpc-flow-logs.amazonaws.com"
   ```

1. Jorge agora pode criar logs de fluxo para uma VPC ou sub-rede no console do Amazon EC2. Quando você criar o log de fluxos, especifique o perfil **flow-logs-for-jorge**. Essa função tem as permissões para criar o log e gravar dados nele.