

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciar acesso a recursos
<a name="access-control-manage-access-intro"></a>

Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.

**nota**  
Esta seção aborda o uso do IAM no contexto do AWS Control Tower. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de política do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de *políticas baseadas em recursos*.

**nota**  
 O AWS Control Tower é compatível apenas com as políticas baseadas em identidade (políticas do IAM). 

**Topics**
+ [Sobre políticas baseadas em identidade (políticas do IAM)](#access-control-manage-access-intro-iam-policies)
+ [Criar perfil e atribuir permissões](assign-permissions.md)
+ [Políticas baseadas em recursos](#access-control-manage-access-intro-resource-policies)

## Sobre políticas baseadas em identidade (políticas do IAM)
<a name="access-control-manage-access-intro-iam-policies"></a>

É possível anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
+ **Anexar uma política de permissões um usuário ou grupo em sua conta**: para conceder a um usuário permissões para criar um recurso do AWS Control Tower, como configurar uma zona de pouso, você pode anexar uma política de permissões a um usuário ou grupo a qual o usuário pertence.
+  **Anexar uma política de permissões a uma função**: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, um administrador de uma AWS conta (*Conta* A) pode criar uma função que concede permissões entre contas a outra AWS conta (*Conta B*), ou o administrador pode criar uma função que conceda permissões a outro AWS serviço.

  1. O administrador da Conta A cria um perfil do IAM e anexa uma política de permissões ao perfil que concede permissões para gerenciar recursos na Conta A.

  1. O administrador da Conta A associa uma política de confiança ao perfil. A política identifica a conta B como a entidade principal que pode assumir a função.

  1. Como entidade principal, o administrador da Conta B pode dar permissão a qualquer usuário da Conta B para assumir o perfil. Ao assumir o perfil, os usuários na Conta B podem criar ou obter acesso aos recursos na Conta A.

  1. Para conceder a um AWS serviço a capacidade (permissões) de assumir a função, o principal que você especifica na política de confiança pode ser um AWS serviço.

# Criar perfil e atribuir permissões
<a name="assign-permissions"></a>

Perfis e permissões dão acesso a recursos, no AWS Control Tower e em outros serviços da AWS , incluindo acesso programático aos recursos.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:

  Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
  + Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
  + (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

Para obter mais informações sobre o uso do IAM para delegar permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.

**nota**  
Ao configurar uma landing zone do AWS Control Tower, você precisará de um usuário ou função com a política **AdministratorAccess**gerenciada. (arn:aws:iam: :aws:policy/) AdministratorAccess

**Para criar uma função para um AWS service (Serviço da AWS) (console do IAM)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.

1. Em **Tipo de entidade confiável**, escolha **AWS service (Serviço da AWS)**.

1. Para **Serviço ou caso de uso**, escolha um serviço e, em seguida, escolha o caso de uso. Os casos de uso são definidos pelo serviço para incluir a política de confiança que o serviço exige.

1. Escolha **Próximo**.

1. As opções para **Políticas de permissões** dependem do caso de uso selecionado.
   + Se o serviço definir as permissões para o perfil, não será possível selecionar políticas de permissões.
   + Selecione em um conjunto limitado de políticas de permissões.
   + Selecione entre todas as políticas de permissões.
   + Não selecione nenhuma política de permissão; crie políticas após a criação do perfil e, em seguida, anexe as políticas ao perfil.

1. (Opcional) Defina um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.

   1. Abra a seção **Definir limite de permissões** e escolha **Usar um limite de permissões para controlar o número máximo de permissões do perfil**. 

      O IAM inclui uma lista das políticas AWS gerenciadas e gerenciadas pelo cliente em sua conta.

   1. Selecione a política a ser usada para o limite de permissões.

1. Escolha **Próximo**.

1. Para **Nome do perfil**, as opções dependem do serviço:
   + Se o serviço definir o nome do perfil, não será possível editar esse nome.
   + Se o serviço definir um prefixo para o nome do perfil, você poderá inserir um sufixo opcional.
   + Se o serviço definir o nome do perfil, você poderá atribuir um nome ao perfil.
**Importante**  
Quando nomear um perfil, observe o seguinte:  
Os nomes das funções devem ser exclusivos dentro de você Conta da AWS e não podem ser diferenciados por maiúsculas e minúsculas.  
Por exemplo, não crie dois perfis denominados **PRODROLE** e **prodrole**. Quando usado em uma política ou como parte de um ARN, o nome de perfil diferencia maiúsculas de minúsculas. No entanto, quando exibido para os clientes no console, como durante o processo de login, o nome de perfil diferencia maiúsculas de minúsculas.
Não é possível editar o nome do perfil depois de criá-lo porque outras entidades podem referenciar o perfil.

1. (Opcional) Em **Descrição**, insira uma descrição para o perfil.

1. (Opcional) Para editar os casos de uso e as permissões do perfil, escolha **Editar** nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: adicionar permissões**.

1. (Opcional) Para ajudar a identificar, organizar ou pesquisar o perfil, adicione tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Tags para AWS Identity and Access Management recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Reveja a função e escolha **Criar função**.

**Para usar o editor de políticas JSON para criar uma política**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

   Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.

1. Na parte superior da página, escolha **Criar política**.

1. Na seção **Editor de políticas**, escolha a opção **JSON**.

1. Insira ou cole um documento de política JSON. Para obter detalhes sobre a linguagem da política do IAM, consulte a referência de [política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html).

1. Resolva os avisos de segurança, erros ou avisos gerais gerados durante a [validação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) e depois escolha **Próximo**. 
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.

1. (Opcional) Ao criar ou editar uma política no Console de gerenciamento da AWS, você pode gerar um modelo de política JSON ou YAML que pode ser usado em CloudFormation modelos.

   Para fazer isso, no **editor de políticas**, escolha **Ações** e, em seguida, escolha **Gerar CloudFormation modelo**. Para saber mais CloudFormation, consulte a [referência do tipo de AWS Identity and Access Management recurso](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) no *Guia AWS CloudFormation do usuário*.

1. Quando terminar de adicionar as permissões à política, escolha **Avançar**.

1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.

1. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Tags para AWS Identity and Access Management recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Escolha **Criar política** para salvar sua nova política.

**Para usar o editor visual para criar uma política**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação à esquerda, escolha **Políticas**. 

   Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.

1. Selecione **Criar política**.

1. Na seção **Editor de políticas**, localize a seção **Selecionar um serviço** e escolha um AWS service (Serviço da AWS). Você pode usar a caixa de pesquisa na parte superior para limitar os resultados da lista de serviços. Você pode escolher apenas um serviço em um bloco de permissões no editor visual. Para conceder acesso a mais de um serviço, adicione vários blocos de permissões escolhendo **Adicionar mais permissões**.

1. Em **Ações permitidas**, escolha as ações a serem adicionadas à política. Você pode escolher as ações das seguintes maneiras:
   + Marque a caixa de seleção para todas as ações.
   + Escolha **Adicionar ações** para inserir o nome de uma ação específica. Você pode usar um caractere curinga (`*`) para especificar várias ações.
   + Selecione um dos grupos de **Nível de acesso** para escolher todas as ações do nível de acesso (por exemplo, **Leitura**, **Gravação** ou **Lista**).
   + Expanda cada um dos grupos de **Access level** para escolher as ações individuais.

   Por padrão, a política que você está criando permite as ações que você escolhe. Para negar as ações escolhidas, selecione **Alternar para negar permissões**. Como o [IAM nega por padrão](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html), a prática recomendada de segurança é que você conceda permissões somente para as ações e os recursos de que um usuário precisa. Crie uma instrução JSON para negar permissões se desejar substituir, separadamente, uma permissão que é concedida por uma outra instrução ou política. Recomendamos que você limite ao mínimo o número de permissões de negação, pois elas podem aumentar a dificuldade de solucionar problemas nas permissões.

1. Para **Recursos**, se o serviço e as ações que você selecionou nas etapas anteriores não oferecerem suporte à escolha de [recursos específicos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), todos os recursos serão permitidos e você não poderá editar esta seção. 

   Se você escolher uma ou mais ações que ofereçam suporte a [permissões no nível de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), o editor visual listará esses recursos. Você poderá expandir **Recursos** para especificar os recursos para sua política. 

   É possível especificar recursos das seguintes maneiras:
   + Escolha **Adicionar ARNs** para especificar recursos por seus nomes de recursos da Amazon (ARN). Você pode usar o editor visual de ARN ou a lista ARNs manualmente. Para obter mais informações sobre a sintaxe do ARN, consulte [Amazon Resource Names (ARNs) no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) do usuário do *IAM*. Para obter informações sobre o uso ARNs no `Resource` elemento de uma política, consulte [Elementos de política JSON do IAM: recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do IAM*.
   + Escolha **Qualquer um nesta conta** ao lado de um recurso para conceder permissões a qualquer recurso desse tipo.
   + Escolha **Todos os recursos** para escolher todos os recursos para o serviço. 

1. (Opcional) Escolha **Condições de solicitação - *opcional*** para adicionar condições à política que você está criando. As condições limitam o efeito de uma instrução de política JSON. Por exemplo, você pode especificar que um usuário só tem permissão para executar ações nos recursos quando sua solicitação ocorrer em um determinado período. Você também pode usar as condições mais usadas para limitar se um usuário deve ser autenticado usando um dispositivo de autenticação multifator (MFA). Ou você pode exigir que a solicitação tenha origem em um determinado intervalo de endereços IP. Para obter listas de todas as chaves de contexto que você pode usar em uma condição de política, consulte [Ações, recursos e chaves de condição para AWS serviços](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) na *Referência de Autorização de Serviço*.

   Você pode escolher as condições das seguintes maneiras:
   + Use as caixas de seleção para selecionar as condições comumente utilizadas.
   + Escolha **Adicionar outra condição** para especificar outras condições. Escolha a **Chave de condição**, o **Qualificador** e o **Operador** da condição e, depois, insira um **Valor**. Para adicionar mais de um valor, escolha **Adicionar**. Você pode considerar os valores como sendo conectados por um operador lógico `OR`. Quando terminar, selecione **Adicionar condição**.

   Para adicionar mais de uma condição, escolha novamente **Adicionar outra condição**. Repita conforme necessário. Cada condição se aplica apenas a um bloco de permissões do editor visual. Todas as condições devem ser verdadeiras para que o bloco de permissões seja considerado uma correspondência. Em outras palavras, considere as condições como sendo conectadas por um operador lógico `AND`.

   Consulte mais informações sobre o elemento **Condição** em [IAM JSON policy elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.

1. Para adicionar mais blocos de permissão, escolha **Adicionar mais permissões**. Para cada bloco, repita as etapas de 2 a 5.
**nota**  
Você pode alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.

1. (Opcional) Ao criar ou editar uma política no Console de gerenciamento da AWS, você pode gerar um modelo de política JSON ou YAML que pode ser usado em CloudFormation modelos.

   Para fazer isso, no **editor de políticas**, escolha **Ações** e, em seguida, escolha **Gerar CloudFormation modelo**. Para saber mais CloudFormation, consulte a [referência do tipo de AWS Identity and Access Management recurso](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) no *Guia AWS CloudFormation do usuário*.

1. Quando terminar de adicionar as permissões à política, escolha **Avançar**.

1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ter certeza de que você concedeu as permissões que pretendia. 

1. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Tags para AWS Identity and Access Management recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Escolha **Criar política** para salvar sua nova política.

**Como conceder acesso programático**

Os usuários precisam de acesso programático se quiserem interagir com pessoas AWS fora do Console de gerenciamento da AWS. A forma de conceder acesso programático depende do tipo de usuário que está acessando AWS.

Para conceder acesso programático aos usuários, selecione uma das seguintes opções:


****  

| Qual usuário precisa de acesso programático? | Para | Por | 
| --- | --- | --- | 
| IAM | (Recomendado) Use as credenciais do console como credenciais temporárias para assinar solicitações programáticas para o AWS CLI, AWS SDKs ou. AWS APIs |  Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/controltower/latest/userguide/assign-permissions.html)  | 
|  Identidade da força de trabalho (Usuários gerenciados no Centro de Identidade do IAM)  | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs |  Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/controltower/latest/userguide/assign-permissions.html)  | 
| IAM | Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs | Siga as instruções em [Como usar credenciais temporárias com AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) no Guia do usuário do IAM. | 
| IAM | (Não recomendado)Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs |  Siga as instruções da interface que deseja utilizar. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/controltower/latest/userguide/assign-permissions.html)  | 

## Proteção contra invasores
<a name="protect"></a>

Para obter mais informações sobre como ajudar a se proteger contra invasores ao conceder permissões a outros diretores de AWS serviço, consulte [Condições opcionais para as relações de confiança de sua função](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html). Ao adicionar determinadas condições às suas políticas, você pode ajudar a evitar um tipo específico de ataque, conhecido como ataque *confused deputy*, que ocorre se uma entidade coagir uma entidade com mais privilégios a realizar uma ação, como a falsificação de identidade entre serviços. Também consulte informações gerais sobre condições de política em [Especificar condições em uma política](access-control-overview.md#specifying-conditions).

Consulte mais informações sobre como usar políticas baseadas em identidade com o AWS Control Tower em [Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower](access-control-managing-permissions.md). Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*. 

## Políticas baseadas em recursos
<a name="access-control-manage-access-intro-resource-policies"></a>

Outros serviços, como o Amazon S3, também aceitam políticas de permissões baseadas em recurso. Por exemplo: você pode anexar uma política a um bucket do S3 para gerenciar permissões de acesso a esse bucket. O AWS Control Tower não é compatível com políticas baseadas em recurso.