As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em Cadeia de Suprimentos AWS
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de data centers e arquiteturas de rede criados AWS para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre a AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso *como* a segurança da nuvem e *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que funciona Serviços da AWS no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade aplicáveis Cadeia de Suprimentos AWS, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — O AWS service (Serviço da AWS) que você usa determina sua responsabilidade. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da sua empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Cadeia de Suprimentos AWS. Os tópicos a seguir mostram como configurar para atender Cadeia de Suprimentos AWS aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros Serviços da AWS que o ajudem a monitorar e proteger seus Cadeia de Suprimentos AWS recursos.
**Topics**
+ [Proteção de dados em Cadeia de Suprimentos AWS](data-protection.md)
+ [Acesso Cadeia de Suprimentos AWS usando um endpoint de interface ()AWS PrivateLink](vpc-interface-endpoints.md)
+ [IAM para Cadeia de Suprimentos AWS](security-iam.md)
+ [AWS políticas gerenciadas para Cadeia de Suprimentos AWS](security-iam-awsmanpol.md)
+ [Validação de conformidade para Cadeia de Suprimentos AWS](compliance-validation.md)
+ [Resiliência em Cadeia de Suprimentos AWS](disaster-recovery-resiliency.md)
+ [Registro e monitoramento Cadeia de Suprimentos AWS](monitoring-overview.md)
+ [Gerenciando Cadeia de Suprimentos AWS eventos usando Amazon EventBridge](eventbridge-integration.md)
# Proteção de dados em Cadeia de Suprimentos AWS
O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em Cadeia de Suprimentos AWS. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com Cadeia de Suprimentos AWS ou Serviços da AWS usa o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Dados manipulados por Cadeia de Suprimentos AWS
Para limitar os dados que podem ser acessados por usuários autorizados de uma instância específica da AWS Supply Chain, os dados mantidos na AWS Supply Chain são segregados pelo ID da sua AWS conta e pelo ID da instância do AWS Supply Chain.
AWS A cadeia de suprimentos lida com uma variedade de dados da cadeia de suprimentos, como informações do usuário, informações extraídas do conector de dados e detalhes do inventário.
## Preferência de exclusão
Podemos usar e armazenar Seu Conteúdo que é processado por Cadeia de Suprimentos AWS, conforme observado nos [Termos de Serviço da AWS](https://aws.amazon.com/service-terms/). Se você quiser optar por não usar ou armazenar seu conteúdo, você pode criar uma política de exclusão no AWS Organizations. Cadeia de Suprimentos AWS Para obter mais informações sobre como criar uma política de exclusão, consulte exemplos e sintaxe da política de [exclusão de serviços de IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html).
## Criptografia em repouso
Os dados de contato classificados como PII, ou dados que representam o conteúdo do cliente, incluindo o conteúdo usado no Amazon Q ao Cadeia de Suprimentos AWS ser armazenado pelo Cadeia de Suprimentos AWS, são criptografados em repouso (ou seja, antes de serem colocados, armazenados ou salvos em um disco) com uma chave limitada no tempo e específica para a Cadeia de Suprimentos AWS instância.
A criptografia do lado do servidor Amazon S3 é usada para criptografar todos os dados do console e do aplicativo web com uma chave de dados AWS Key Management Service exclusiva para cada conta de cliente. Para obter informações sobre AWS KMS keys, consulte [O que é AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) no Guia do AWS Key Management Service desenvolvedor.
**nota**
Cadeia de Suprimentos AWS features Supply Planning and N-Tier Visibility não suporta criptografia data-at-rest com o KMS-CMK fornecido.
## Criptografia em trânsito
Os dados, incluindo o conteúdo usado no Amazon Q em Cadeia de Suprimentos AWS troca com a cadeia AWS de suprimentos, são protegidos em trânsito entre o navegador da web do usuário e a cadeia de AWS suprimentos usando criptografia TLS padrão do setor.
## Gerenciamento de chaves
Cadeia de Suprimentos AWS suporta parcialmente o KMS-CMK.
Para obter informações sobre como atualizar a chave do AWS KMS Cadeia de Suprimentos AWS, consulte. [Etapa 2: Criar uma instância](creating-instance.md)
## Privacidade do tráfego entre redes
**nota**
Cadeia de Suprimentos AWS não suporta PrivateLink.
Um endpoint de nuvem privada virtual (VPC) para Cadeia de Suprimentos AWS é uma entidade lógica dentro de uma VPC que permite conectividade somente com o. Cadeia de Suprimentos AWS A VPC encaminha as solicitações Cadeia de Suprimentos AWS e as respostas de volta para a VPC. Para obter mais informações, consulte [VPC Endpoints no Guia do usuário](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html) da VPC.
## Como Cadeia de Suprimentos AWS usa subsídios em AWS KMS
Cadeia de Suprimentos AWS exige uma [concessão](/kms/latest/developerguide/grants.html) para usar sua chave gerenciada pelo cliente.
Cadeia de Suprimentos AWS cria várias concessões usando a AWS KMS chave que é passada durante a **CreateInstance**operação. Cadeia de Suprimentos AWS cria uma concessão em seu nome enviando [/kms/latest/APIReference/API_CreateGrant.html](/kms/latest/APIReference/API_CreateGrant.html)solicitações para AWS KMS. As concessões AWS KMS são usadas para dar Cadeia de Suprimentos AWS acesso à AWS KMS chave em uma conta de cliente.
**nota**
Cadeia de Suprimentos AWS usa seu próprio mecanismo de autorização. Depois que um usuário é adicionado Cadeia de Suprimentos AWS, você não pode negar a lista do mesmo usuário usando a AWS KMS política.
Cadeia de Suprimentos AWS usa a concessão para o seguinte:
+ Para enviar **GenerateDataKey**solicitações AWS KMS para [/forecast/latest/dg/data-protection.html#kms-grants](/forecast/latest/dg/data-protection.html#kms-grants) os dados armazenados na sua instância.
+ Para enviar solicitações do **Decrypt** para AWS KMS ler seus dados criptografados associados à instância.
+ Para adicionar *DescribeKey*, *CreateGrant*, e *RetireGrant*permissões para manter seus dados protegidos ao enviá-los para outros AWS serviços, como o Amazon Forecast.
É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, Cadeia de Suprimentos AWS não conseguirá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados.
### Monitorando sua criptografia para Cadeia de Suprimentos AWS
Os exemplos a seguir são AWS CloudTrail eventos para`Encrypt`,`GenerateDataKey`, e `Decrypt` para monitorar operações KMS chamadas por Cadeia de Suprimentos AWS para acessar dados criptografados pela chave gerenciada pelo cliente:
------
#### [ Encrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::test/rawEvent/bf6666c1-111-48aaca-b6b0-dsadsadsa3432423/noFlowName/scn.data.inboundorder/20240306_223934_536"
},
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"keySpec": "AES_222"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
```
------
# Acesso Cadeia de Suprimentos AWS usando um endpoint de interface ()AWS PrivateLink
Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e. Cadeia de Suprimentos AWS Você pode acessar Cadeia de Suprimentos AWS como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para acessar o Cadeia de Suprimentos AWS.
Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Estas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Cadeia de Suprimentos AWS.
Para obter mais informações, consulte [Acesso Serviços da AWS por meio AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) do *AWS PrivateLink Guia*.
## Considerações para Cadeia de Suprimentos AWS
*Antes de configurar um endpoint de interface para Cadeia de Suprimentos AWS, consulte [as Considerações](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) no AWS PrivateLink Guia.*
Cadeia de Suprimentos AWS suporta fazer chamadas para todas as suas ações de API por meio do endpoint da interface.
## Crie um endpoint de interface para Cadeia de Suprimentos AWS
Você pode criar um endpoint de interface para Cadeia de Suprimentos AWS usar o console Amazon VPC ou AWS Command Line Interface o AWS CLI(). Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do usuário do AWS PrivateLink *.
Crie um endpoint de interface para Cadeia de Suprimentos AWS usar o seguinte nome de serviço:
```
com.amazonaws.region.scn
```
Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API a Cadeia de Suprimentos AWS usando seu nome DNS regional padrão. Por exemplo, `scn.region.amazonaws.com`.
## Crie uma política de endpoint para seu endpoint de interface.
Uma política de endpoint é um recurso do IAM que você pode anexar ao endpoint de interface. A política de endpoint padrão permite acesso total Cadeia de Suprimentos AWS por meio do endpoint da interface. Para controlar o acesso Cadeia de Suprimentos AWS permitido pela sua VPC, anexe uma política de endpoint personalizada ao endpoint da interface.
Uma política de endpoint especifica as seguintes informações:
+ Os diretores que podem realizar ações (Contas da AWS usuários do IAM e funções do IAM)
+ As ações que podem ser executadas
+ Os recursos nos quais as ações podem ser executadas
Para obter mais informações, consulte [Controlar o acesso aos serviços usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *.
**Exemplo: política de VPC endpoint para ações Cadeia de Suprimentos AWS**
O exemplo a seguir refere-se a uma política de endpoint personalizada. Quando anexada ao endpoint da sua interface, essa política concede acesso às ações do Cadeia de Suprimentos AWS listadas para todas as entidades principais em todos os recursos.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"scn:action-1",
"scn:action-2",
"scn:action-3"
],
"Resource":"*"
}
]
}
```
# IAM para Cadeia de Suprimentos AWS
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar Cadeia de Suprimentos AWS os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como Cadeia de Suprimentos AWS funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para Cadeia de Suprimentos AWS](security_iam_id-based-policy-examples.md)
+ [Solução de problemas Cadeia de Suprimentos AWS de identidade e acesso](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas Cadeia de Suprimentos AWS de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como Cadeia de Suprimentos AWS funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para Cadeia de Suprimentos AWS](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como Cadeia de Suprimentos AWS funciona com o IAM
Antes de usar o IAM para gerenciar o acesso Cadeia de Suprimentos AWS, saiba com quais recursos do IAM estão disponíveis para uso Cadeia de Suprimentos AWS.
**Recursos do IAM que você pode usar com Cadeia de Suprimentos AWS**
| Recurso do IAM | Cadeia de Suprimentos AWS apoio |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Não |
Para ter uma visão de alto nível de como Cadeia de Suprimentos AWS e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Políticas baseadas em identidade para Cadeia de Suprimentos AWS
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para Cadeia de Suprimentos AWS
Para ver exemplos de políticas Cadeia de Suprimentos AWS baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para Cadeia de Suprimentos AWS](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos dentro Cadeia de Suprimentos AWS
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações políticas para Cadeia de Suprimentos AWS
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política Cadeia de Suprimentos AWS usam o seguinte prefixo antes da ação:
```
scn
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"scn:action1",
"scn:action2"
]
```
Para ver exemplos de políticas Cadeia de Suprimentos AWS baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para Cadeia de Suprimentos AWS](security_iam_id-based-policy-examples.md)
## Recursos políticos para Cadeia de Suprimentos AWS
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver exemplos de políticas Cadeia de Suprimentos AWS baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para Cadeia de Suprimentos AWS](security_iam_id-based-policy-examples.md)
## Chaves de condição de política para Cadeia de Suprimentos AWS
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver exemplos de políticas Cadeia de Suprimentos AWS baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para Cadeia de Suprimentos AWS](security_iam_id-based-policy-examples.md)
## Usando credenciais temporárias com Cadeia de Suprimentos AWS
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Sessões de acesso direto para Cadeia de Suprimentos AWS
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funções de serviço para Cadeia de Suprimentos AWS
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
Alterar as permissões de uma função de serviço pode interromper Cadeia de Suprimentos AWS a funcionalidade. Edite as funções de serviço somente quando Cadeia de Suprimentos AWS fornecer orientação para fazer isso.
## Funções vinculadas a serviços para Cadeia de Suprimentos AWS
**Compatível com perfis vinculados ao serviço:** Não
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar funções vinculadas a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Função vinculada ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para Cadeia de Suprimentos AWS
Por padrão, usuários e funções não têm permissão para criar ou modificar Cadeia de Suprimentos AWS recursos. Eles também não podem executar tarefas usando o Console de Gerenciamento da AWS, a AWS Command Line Interface (AWS CLI) ou uma API da AWS. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis e os usuários podem presumir os perfis.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documento de política JSON, consulte [Criação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no Guia do usuário do IAM.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir Cadeia de Suprimentos AWS recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
# Solução de problemas Cadeia de Suprimentos AWS de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com Cadeia de Suprimentos AWS um IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação em Cadeia de Suprimentos AWS](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha Conta da AWS acessem meus Cadeia de Suprimentos AWS recursos](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação em Cadeia de Suprimentos AWS
Se o Console de gerenciamento da AWS informar que você não está autorizado a executar uma ação, você deverá entrar em contato com o administrador para obter assistência. O administrador é a pessoa que forneceu o seu nome de usuário e senha.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `scn:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: scn:GetWidget on resource: my-example-widget
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `my-example-widget` usando a ação `scn:GetWidget`.
## Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o Cadeia de Suprimentos AWS.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no Cadeia de Suprimentos AWS. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha Conta da AWS acessem meus Cadeia de Suprimentos AWS recursos
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se é Cadeia de Suprimentos AWS compatível com esses recursos, consulte[Como Cadeia de Suprimentos AWS funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# AWS políticas gerenciadas para Cadeia de Suprimentos AWS
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSSupply ChainFederationAdminAccess
AWSSupplyChainFederationAdminAccess fornece aos usuários Cadeia de Suprimentos AWS federados acesso ao Cadeia de Suprimentos AWS aplicativo, incluindo as permissões necessárias para realizar ações dentro do Cadeia de Suprimentos AWS aplicativo. A política fornece permissões administrativas para usuários e grupos do IAM Identity Center e está vinculada a uma função criada Cadeia de Suprimentos AWS por você. Você não deve vincular a AWSSupply ChainFederationAdminAccess política a nenhuma outra entidade do IAM.
Embora essa política forneça todo o acesso Cadeia de Suprimentos AWS por meio das permissões scn: \$1, a Cadeia de Suprimentos AWS função determina suas permissões. A Cadeia de Suprimentos AWS função inclui apenas as permissões necessárias e não tem permissões para o administrador APIs.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `Chime`— Fornece acesso para criar ou excluir usuários em um Amazon Chime AppInstance; Fornece acesso para gerenciar canais, membros do canal e moderadores; Fornece acesso para enviar mensagens para o canal. As operações do Chime têm como escopo as instâncias do aplicativo marcadas com "SCNInstanceId”.
+ `AWS IAM Identity Center (AWS SSO)`— Fornece as permissões necessárias para associar e desassociar perfis de usuário, listar associações de perfis, listar atribuições de aplicativos, descrever aplicativos, descrever instâncias e obter a configuração de atribuição de aplicativos no IAM Identity Center.
+ `AppFlow` — Fornece acesso para criar, atualizar e excluir perfis de conexão; fornece acesso para criar, atualizar, excluir, iniciar e interromper fluxos; fornece acesso para marcar e desmarcar fluxos e descrever registros de fluxo.
+ `Amazon S3` — Fornece acesso para listar todos os buckets. Fornece GetBucketLocation,, GetBucketPolicy PutObject GetObject, e ListBucket acesso aos buckets com o recurso arn arn:aws:s3::: -\$1. aws-supply-chain-data
+ `SecretsManager` — Fornece acesso à criação de segredos e à atualização da política secreta.
+ `KMS`— Fornece ao AppFlow serviço Amazon o acesso às chaves da lista e ao alias da chave. DescribeKey CreateGrant Fornece ListGrants permissões para chaves KMS marcadas com chave-valor aws-suply-chain-access: true; fornece acesso para criar segredos e atualizar políticas secretas.
As permissões (*kms:ListKeys, kms:**, kms: ListAliases* e *kms:Decrypt**)* não estão restritas à AppFlow Amazon e essas permissões podem ser concedidas a qualquer chave em sua conta. GenerateDataKey AWS KMS
Para ver as permissões dessa política, consulte [AWSSupplyChainFederationAdminAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSSupplyChainFederationAdminAccess)no Console de gerenciamento da AWS.
## Cadeia de Suprimentos AWS atualizações nas políticas AWS gerenciadas
A tabela a seguir lista detalhes sobre as atualizações nas políticas AWS gerenciadas Cadeia de Suprimentos AWS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do Cadeia de Suprimentos AWS documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess): política atualizada | Cadeia de Suprimentos AWS atualizou a política gerenciada para permitir que usuários federados acessem dados no IAM Identity Center que são criptografados com chaves KMS gerenciadas pelo cliente ()CMKs. | 30 de outubro de 2025 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess): política atualizada | Cadeia de Suprimentos AWS atualizou a política gerenciada para permitir que usuários federados acessem`ListApplicationAssignments`, `DescribeApplication``DescribeInstance`, e `GetApplicationAssignmentConfiguration` operações no IAM Identity Center. | 10 de dezembro de 2024 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess): política atualizada | Cadeia de Suprimentos AWS atualizou a política gerenciada para permitir que usuários federados acessem as ListProfileAssociations operações no IAM Identity Center. | 1º de novembro de 2023 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess): política atualizada | Cadeia de Suprimentos AWS atualizou a política gerenciada para permitir que usuários federados acessem GetObject as operações PutObject e no bucket S3 dedicado com o recurso arn arn:aws:s3: ::aws-supply- chain-data-\$1. | 21 de setembro de 2023 |
| [AWSSupplyChainFederationAdminAccess](#security-iam-awsmanpol-AWSSupplyChainFederationAdminAccess) – Nova política | Cadeia de Suprimentos AWS adicionou uma nova política para permitir que usuários federados acessem o Cadeia de Suprimentos AWS aplicativo. Isso inclui as permissões necessárias para realizar ações dentro do aplicativo Cadeia de Suprimentos AWS . | 1º de março de 2023 |
| Cadeia de Suprimentos AWS começou a rastrear alterações | Cadeia de Suprimentos AWS começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 1º de março de 2023 |
# Validação de conformidade para Cadeia de Suprimentos AWS
Auditores terceirizados avaliam a segurança e a conformidade Cadeia de Suprimentos AWS como parte de vários programas de AWS conformidade. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.
Para obter uma lista dos Serviços da AWS que se enquadram no escopo de programas de conformidade específicos, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) . Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros com AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade quando você usa Cadeia de Suprimentos AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade da sua empresa e pelas leis e regulamentos aplicáveis. AWS fornece os seguintes recursos para ajudar na conformidade:
+ [Guias de início rápido de segurança e compatibilidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estes guias de implantação abordam as considerações de arquitetura e fornecem etapas para implantação de ambientes de linha de base focados em compatibilidade e segurança na AWS .
+ Documento técnico [sobre arquitetura para segurança e conformidade com a HIPAA — Este whitepaper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) descreve como as empresas podem usar para criar aplicativos compatíveis com a HIPAA. AWS
+ AWS Recursos de [https://aws.amazon.com/compliance/resources/](https://aws.amazon.com/compliance/resources/) de conformidade — Essa coleção de pastas de trabalho e guias pode ser aplicada ao seu setor e local.
+ [Avaliar recursos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) no * Guia do desenvolvedor da AWS Config *: esse guia avalia como suas configurações de recursos estão em conformidade com práticas internas, diretrizes do setor e regulamentos.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Isso AWS service (Serviço da AWS) fornece uma visão abrangente do seu estado de segurança interno AWS para ajudá-lo a verificar sua conformidade com os padrões e as melhores práticas do setor de segurança.
# Resiliência em Cadeia de Suprimentos AWS
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS forneça várias zonas de disponibilidade fisicamente separadas e isoladas. Conectadas com baixa latência, alta throughput e redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
Além da infraestrutura AWS global, Cadeia de Suprimentos AWS oferece vários recursos para ajudar a suportar suas necessidades de resiliência e backup de dados.
# Registro e monitoramento Cadeia de Suprimentos AWS
O registro e o monitoramento são uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho da cadeia de AWS suprimentos e de suas outras AWS soluções. AWS fornece a ferramenta de AWS CloudTrail monitoramento para monitorar a cadeia AWS de suprimentos, relatar quando algo está errado e tomar ações automáticas quando apropriado.
**nota**
APIs chamadas somente do Cadeia de Suprimentos AWS console são capturadas em AWS CloudTrail.
O *AWS CloudTrail* captura chamadas de API e eventos relacionados realizados por sua Conta da AWS ou em nome dela e entrega os arquivos de log a um bucket do Amazon S3 que você especificar. Você pode identificar quais usuários e contas chamaram AWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. Você pode ver os eventos da cadeia AWS de suprimentos em *scn.amazonaws.com.* Para obter mais informações, consulte o [Guia do usuário do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**nota**
Observe o seguinte com Cadeia de Suprimentos AWS:
Quando você convida usuários que não têm acesso Cadeia de Suprimentos AWS, esses usuários não recebem informações nas notificações que recebem do aplicativo web. Os usuários convidados recebem uma notificação por e-mail com um link para o aplicativo web. Eles só podem fazer login e visualizar o conteúdo na notificação se tiverem as permissões de usuário necessárias.
Todos os usuários com ou sem permissões de usuário para um determinado Insight podem ver as mensagens de bate-papo do Insights.
Como administrador do aplicativo, quando você adiciona usuários à Cadeia de Suprimentos AWS instância, eles têm acesso ao AWS KMS key. Você pode gerenciar as permissões do usuário para adicionar ou remover usuários. Para obter mais informações sobre as permissões de usuário, consulte [Gerenciando funções de permissão do usuário](adding-users-groups.md).
## Cadeia de Suprimentos AWS eventos de dados em CloudTrail
**nota**
Os aplicativos web APIs listados abaixo [Cadeia de Suprimentos AWS aplicativo web APIs](webappi.md) estão listados nos eventos de dados em CloudTrail.
Os [Eventos de dados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) fornecem informações sobre as operações de recursos realizadas em um recurso (por exemplo, leitura ou gravação em um objeto do Amazon S3). Também são conhecidas como operações de plano de dados. Os eventos de dados costumam ser atividades de alto volume. Por padrão, CloudTrail não registra eventos de dados. O **histórico de CloudTrail eventos** não registra eventos de dados.
Há cobranças adicionais para eventos de dados. Para obter mais informações sobre CloudTrail preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/).
Você pode registrar eventos de dados para os tipos de Cadeia de Suprimentos AWS recursos usando o CloudTrail console ou AWS CLI as operações CloudTrail da API.
+ Para registrar eventos de dados usando o CloudTrail console, crie um [armazenamento de dados de [trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console) ou eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html) para registrar eventos de dados ou [atualize um armazenamento de dados de trilhas ou eventos existente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) para registrar eventos de dados.
1. Selecione **Eventos de dados** para registrar eventos de dados em log.
1. Em **Tipo de evento de dados**, escolha o tipo de recurso para o qual você deseja registrar eventos de dados em log.
1. Selecione o modelo de seletor de logs que deseja usar. Você pode registrar todos os eventos de dados para o tipo de recurso, registrar todos os eventos `readOnly`, registrar todos os eventos `writeOnly` ou criar um modelo de seletor de logs personalizado para filtrar os campos `readOnly`, `eventName` e `resources.ARN`.
+ Para registrar eventos de dados usando o AWS CLI, configure o `--advanced-event-selectors` parâmetro para definir o `eventCategory` campo igual `Data` e o `resources.type` campo igual ao valor do tipo de recurso. É possível adicionar condições para filtrar os valores dos campos `readOnly`, `eventName` e `resources.ARN`.
+ Para configurar uma trilha e registrar eventos de dados em log, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-event-selectors.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-event-selectors.html). Para ter mais informações, consulte [Logging data events for trails with the AWS CLI](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-CLI-trail-examples).
+ Para configurar um armazenamento de dados de eventos e registrar eventos de dados em log, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) para criar um armazenamento e registrar eventos de dados em log ou execute o comando [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) para atualizar um armazenamento existente. Para obter mais informações, consulte [Log em log de eventos de dados para trilhas AWS CLI](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-CLI-eds-examples).
\$1É possível configurar seletores de eventos avançados para filtrar os campos `eventName`, `readOnly` e `resources.ARN` e registrar em log somente os eventos que são importantes para você. Consulte mais informações sobre esses campos em [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html).
## Cadeia de Suprimentos AWS eventos de gerenciamento em CloudTrail
[Os eventos de gerenciamento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos AWS da sua conta. Também são conhecidas como operações de ambiente de gerenciamento. Por padrão, CloudTrail registra eventos de gerenciamento.
O AWS Supply Chain registra todas as operações do plano de controle CloudTrail como eventos de gerenciamento.
# Cadeia de Suprimentos AWS aplicativo web APIs
Os APIs listados nesta seção são chamados por Cadeia de Suprimentos AWS aplicativos em nome de usuários federados. Eles não APIs são visíveis nos CloudTrail registros e não são capturados no documento de *referência de autorização de serviço*, consulte [Cadeia de Suprimentos AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssupplychain.html). O acesso a eles APIs é controlado por Cadeia de Suprimentos AWS aplicativos com base nas permissões federadas da função de usuário. Você não deve tentar controlar o acesso a eles APIs para evitar a interrupção dos Cadeia de Suprimentos AWS aplicativos.
# Perfis de usuário
APIs Os itens a seguir são usados para gerenciar usuários, funções de usuário, notificações de usuários e mensagens de bate-papo em Cadeia de Suprimentos AWS.
```
scn:AddMembersToResourceBasedChat
scn:AssignGalaxyRoleToUser
scn:AssociateUser
scn:BatchGetUsers
scn:BatchMarkNotificationAsDelivered
scn:CreateRole
scn:DeleteRole
scn:DescribeChatForUser
scn:GetAccessDetailConfig
scn:GetChatPreferencesForUser
scn:GetMessagingSessionConnectionDetails
scn:GetNotificationsPreference
scn:GetOrCreateChimeUser
scn:GetOrCreateResourceBasedChat
scn:GetOrCreateUserBasedChat
scn:GetOrganizationInfo
scn:GetResourceBasedChatArn
scn:GetUserDetails
scn:ListChatMembers
scn:ListChatMessages
scn:ListChatModerators
scn:ListChats
scn:ListRoles
scn:ListUserNotifications
scn:ListUsersWithRole
scn:MarkNotificationAsDelivered
scn:MarkNotificationAsRead
scn:RemoveMemberFromResourceBasedChat
scn:RemoveUser
scn:SearchChimeUsers
scn:SearchUsers
scn:SendChatMessage
scn:SetNotificationsPreference
scn:UpdateChatPreferencesForUser
scn:UpdateChatReadMarker
scn:UpdateOrganizationInfo
scn:UpdateRole
scn:UpdateUser
```
# Data lake
Os itens a seguir APIs são usados para criar e gerenciar fluxos de dados e conexões no data lake.
```
scn:CreateConnection
scn:CreateDataflow
scn:CreateDeleteDataByPartitionJob
scn:CreateExtractFlows
scn:CreatePresignedUrl
scn:CreateSampleParsingJob
scn:CreateSapODataConnection
scn:CreateUpdateDatasetSchemaJob
scn:DeleteConnection
scn:DeleteDataflow
scn:DeleteExtractFlows
scn:DeleteSapODataConnection
scn:describeDatasetGroup
scn:DescribeDataset
scn:DescribeJob
scn:GetConnection
scn:GetCreateExtractFlowsStatus
scn:GetDataflow
scn:ListConnections
scn:ListCustomerFiles
scn:ListDataflows
scn:ListDataflowStats
scn:ListDatasets
scn:UpdateConnection
scn:UpdateDataflow
scn:UpdateExtractFlow
```
# Insights
APIs Os itens a seguir são usados pelo aplicativo Insights para gerenciar filtros, listas de observação e visualizar alterações no inventário.
```
scn:AddModeratorToResourceBasedChat
scn:ComputePostRebalancedQuantities
scn:ComputePostRebalancedQuantitiesV1
scn:CreateInsightFilter
scn:CreateInsightSubscription
scn:DeleteInsightFilter
scn:DeleteInsightSubscription
scn:GetInsightLineItem
scn:GetInsightSubscription
scn:GetInstanceAttribute
scn:GetInstanceRequiredDatasetAvailabilityStatus
scn:GetKpiData
scn:GetModelEndpointStatus
scn:GetPIVForProduct
scn:GetPIVForSite
scn:GetPIVForSiteAndProduct
scn:GetPIVForSitesAndProducts
scn:GetProducts
scn:GetProductSummaryAggregates
scn:GetSites
scn:GetSiteSummaryAggregates
scn:IsUserAuthorizedForInsightLineItem
scn:ListCustomAttributeValues
scn:ListGeographiesAsGalaxyAdmin
scn:ListInsightFilters
scn:ListInsightLineItems
scn:ListInsightSubscriptions
scn:ListInventoryQuantityAggregates
scn:ListInventoryRisksBySiteAndProduct
scn:ListInventorySummariesBySite
scn:ListPIVProductsBySite
scn:ListProductHierarchiesAsGalaxyAdmin
scn:ListProducts
scn:ListProductsAsGalaxyAdmin
scn:ListSites
scn:ListUsers
scn:PotentiallyComputeThenListRebalancingOptionsForInsightLineItem
scn:RegisterInstanceAttribute
scn:UpdateInsightFilter
scn:UpdateInsightLineItemStatus
scn:UpdateInsightSubscription
scn:UpdateRebalancingOptionStatus
scn:UpdateRebalancingOptionStatusV1
```
# Planejamento de Demanda
Os itens a seguir APIs são usados Cadeia de Suprimentos AWS para criar e gerenciar previsões, planos de demanda ou pastas de trabalho.
```
scn:AssociateDatasetWithWorkbook
scn:CreateBaselineForecast
scn:CreateDemandPlan
scn:CreateDemandPlanningCycle
scn:CreateDemandPlanningDatasetExportJob
scn:CreateDerivedForecast
scn:CreateWorkbook
scn:DeleteDemandForecastConfig
scn:DeleteDemandPlanningCycle
scn:DeleteDerivedForecast
scn:DeleteWorkbook
scn:DescribeBaselineForecast
scn:DescribeDemandPlanningCycleAccuracyJob
scn:DescribeDerivedForecast
scn:DescribePlanningCycle
scn:DescribeWorkbook
scn:DisassociatePlanningCycle
scn:GetDemandForecastConfig
scn:GetDemandPlan
scn:GetDemandPlanningCycle
scn:GetDemandPlanningCycleAccuracy
scn:GetDemandPlanningDatasetJob
scn:ListDemandPlans
scn:ListDerivedForecasts
scn:ListForecastingJobs
scn:ListPlanningCycles
scn:ListWorkbooks
scn:PublishDemandPlan
scn:PutDemandForecastConfig
scn:StartDemandPlanningCycleAccuracyJob
scn:StartForecastingJob
scn:UpdateDemandPlan
scn:UpdateDemandPlanningCycleMetadata
scn:UpdateWorkbook
```
# Planejamento de suprimentos
Os itens a seguir APIs são usados Cadeia de Suprimentos AWS para criar e gerenciar planos de suprimentos.
```
scn:CreateReplenishmentPipeline
scn:GetReplenishmentPipeline
scn:UpdateReplenishmentPipeline
scn:ListReplenishmentPipelinesByInstance
scn:GetInstanceReplenishmentConfig
scn:CreateBacktest
scn:CreateReplenishmentReviewInstanceConfig
scn:GetReplenishmentReviewInstanceConfig
scn:ListReplenishmentVendors
scn:GetExceptionsSupplyInsightsStatistics
scn:GetPorSupplyInsightsStatistics
scn:GetPlanToPOConversionAnalytics
scn:GetPurchasePlanStatistics
scn:ListPlanExceptions
scn:ListPurchaseOrderRequestLines
scn:UpdatePurchaseOrderRequestLines
scn:ListBomPurchasePlans
scn:ListBomProductionPlans
scn:ListBomTransferPlans
scn:ListBomInsights
scn:ListBomProcesses
scn:ExportBomPlans
scn:GetBomPlanSummary
scn:GetDashboardAnalytics
scn:GetPurchaseOrderRequestExplanation
scn:ListBomSupplyPlan
scn:GetBomPlanRecordDetails
scn:GetBomPlanSummaryAnalytics
scn:ListBomPurchaseOrders
scn:ListBomTransferOrders
scn:ListBomProductionOrders
scn:ExportAllExplodedBoms
scn:ExportBillOfMaterials
scn:ExportInventoryPolicy
scn:ExportProductionProcess
scn:ExportSourcingRule
scn:ExportTransportationLane
scn:ExportVendorLeadTime
scn:ImportBillOfMaterials
scn:ImportInventoryPolicy
scn:ImportProductionProcess
scn:ImportSourcingRule
scn:ImportTransportationLane
scn:ImportVendorLeadTime
```
# Amazon Q em Cadeia de Suprimentos AWS
Os itens a seguir APIs são usados no Amazon Q em Cadeia de Suprimentos AWS.
```
scn:GetQMessage
scn:ListQMessages
scn:PutQMessageFeedback
scn:SendQMessage
scn:GetQEnablementStatus
scn:UpdateQEnablementStatus
```
# Gerenciando Cadeia de Suprimentos AWS eventos usando Amazon EventBridge
Usando EventBridge, você pode automatizar outros serviços para responder às mudanças de status de execução de um fluxo de trabalho Step Functions padrão.
Amazon EventBridge é um serviço sem servidor que usa eventos para conectar componentes do aplicativo, facilitando a criação de aplicativos escaláveis orientados por eventos. A arquitetura orientada a eventos é um estilo de criação de sistemas de software com acoplamento fraco que funcionam juntos emitindo e respondendo a eventos. Os eventos representam uma mudança em um recurso ou ambiente.
Como isso funciona:
Como acontece com muitos AWS serviços, Cadeia de Suprimentos AWS gera e envia eventos para o barramento de eventos EventBridge padrão. (O barramento de eventos padrão é provisionado automaticamente em todas as AWS contas.) Um barramento de eventos é um roteador que recebe eventos e os entrega a zero ou mais destinos, ou *alvos*. As regras especificadas para o barramento de eventos avaliam os eventos à medida que eles chegam. Cada regra verifica se um evento corresponde ao *padrão do evento*. Se o evento corresponder, o barramento de eventos enviará o evento para os destinos especificados.
![\[AWS os serviços enviam eventos para o barramento de eventos EventBridge padrão. Se o evento corresponder ao padrão de evento de uma regra, EventBridge envia o evento para os destinos especificados para essa regra.\]](http://docs.aws.amazon.com/pt_br/aws-supply-chain/latest/adminguide/images/eventbridge-integration-how-it-works.png)
**Topics**
+ [Cadeia de Suprimentos AWS eventos](#supported-events)
+ [Entregando Cadeia de Suprimentos AWS eventos usando EventBridge regras](#eventbridge-using-events-rules)
+ [Cadeia de Suprimentos AWS referência de detalhes de eventos](events-detail-reference.md)
## Cadeia de Suprimentos AWS eventos
Cadeia de Suprimentos AWS envia automaticamente os seguintes eventos para o barramento de EventBridge eventos padrão. Os eventos que correspondem ao padrão de eventos de uma regra são entregues aos alvos especificados em uma [base](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html#eb-service-event-delivery-level). Pode ser que os eventos sejam entregues fora da ordem.
Para obter mais informações, consulte [Eventos do EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html), no *Guia do usuário do Amazon EventBridge *.
| Tipo de detalhe de evento | Description |
| --- | --- |
| [Alteração do status de integração de dados da cadeia de suprimentos da AWS](events-detail-reference.md#event-detail-event-name-1-no-caps-or-spaces) | Exibe o status de cada arquivo ingerido em Cadeia de Suprimentos AWS. |
## Entregando Cadeia de Suprimentos AWS eventos usando EventBridge regras
Para que o barramento de eventos EventBridge padrão envie Cadeia de Suprimentos AWS eventos para um destino, você deve criar uma regra. Cada regra contém um padrão de evento, que EventBridge corresponde a cada evento recebido no barramento de eventos. Se os dados do evento corresponderem ao padrão de evento especificado, EventBridge entregará esse evento ao (s) alvo (s) da regra.
Para obter instruções abrangentes de como criar regras de barramento de eventos, consulte [Criar regras que reagem a eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) no *Guia do usuário do EventBridge *.
### Criação de padrões de eventos que correspondam aos Cadeia de Suprimentos AWS eventos
Cada padrão de evento é um objeto JSON que contém:
+ Um atributo `source` que identifica o serviço que envia o evento. Para Cadeia de Suprimentos AWS eventos, a fonte é`aws.supplychain`.
+ (Opcional): um atributo `detail-type` que contém uma matriz dos tipos de eventos a serem correlacionados.
+ (Opcional): um atributo `detail` que contém quaisquer outros dados relacionados aos eventos a serem correlacionados.
Por exemplo, o padrão de eventos a seguir corresponde a todos os `AWS Supply Chain Data Integration Status Change` eventos de Cadeia de Suprimentos AWS:
```
{
"source": ["aws.supplychain"],
"detail-type": ["AWS Supply Chain Data Integration Status Change"]
}
```
Para obter mais informações sobre como escrever padrões de eventos, consulte [Padrões de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) no *Guia do usuário do EventBridge *.
# Cadeia de Suprimentos AWS referência de detalhes de eventos
Todos os eventos dos AWS serviços têm um conjunto comum de campos contendo metadados sobre o evento, como o AWS serviço que é a origem do evento, a hora em que o evento foi gerado, a conta e a região em que o evento ocorreu e outros. Para obter as definições desses campos gerais, consulte [Referência da estrutura de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events-structure.html) no *Guia do usuário do Amazon EventBridge *.
Além disso, cada evento tem um campo de `detail` que contém dados específicos desse determinado evento. A referência abaixo define os campos de detalhes dos vários eventos do Cadeia de Suprimentos AWS .
Ao usar EventBridge para selecionar e gerenciar Cadeia de Suprimentos AWS eventos, é útil ter em mente o seguinte:
+ O `source` campo para todos os eventos de Cadeia de Suprimentos AWS está definido como`aws.supplychain`.
+ O campo do `detail-type` especifica o tipo de evento.
Por exemplo, .`AWS Supply Chain Data Integration Status Change`
+ O campo de `detail` contém os dados específicos desse determinado evento.
Para obter mais informações sobre a criação de padrões de eventos que habilitam regras para corresponder a eventos do Cadeia de Suprimentos AWS , consulte [Padrões de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) no *Guia do usuário do Amazon EventBridge *.
Para obter mais informações sobre eventos e como EventBridge os processa, consulte [Amazon EventBridge eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-events.html) no *Guia Amazon EventBridge do usuário*.
## Alteração do status de integração de dados da cadeia de suprimentos da AWS
Abaixo está um exemplo do `AWS Supply Chain Data Integration Status Change event` evento.
```
{
"version": "0",
"id": "instanceID",
"detail-type": "AWS Supply Chain Data Integration Status Change",
"source": "aws.supplychain",
"account": "acccountID",
"time": "2024-03-30T12:26:13Z",
"region": "us-east-1",
"resources": [],
"detail": {
"version": "1.0",
"instanceId": "instanceID",
"flowArn": "arn:aws:scn:region:acccountID:instance/instanceID/data-integration-flows/flowname",
"flowExecutionId": "flowExecutionId",
"status": "IN_PROGRESS",
"startTime": "2024-03-30T12:26:13Z",
"endTime": "",
"message": "",
"sourceType": "S3",
"sourceInfo": {
"s3Source": {
"bucketName": "aws-supply-chain-data-instanceID",
"key": "flowname"
}
}
}
}
```
`endTime`só está disponível quando o *status* é falha ou sucesso.