As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando funções para DataSync
<a name="using-service-linked-roles-service-action-2"></a>

AWS DataSync usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. DataSync As funções vinculadas ao serviço são predefinidas DataSync e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração DataSync porque você não precisa adicionar manualmente as permissões necessárias. DataSync define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só DataSync pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus DataSync recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.

## Permissões de função vinculadas ao serviço para DataSync
<a name="service-linked-role-permissions-service-action-2"></a>

DataSync usa a função vinculada ao serviço chamada **AWSServiceRoleForDataSync**— Permite realizar operações essenciais para DataSync a execução de tarefas de transferência, incluindo a leitura de segredos e a criação de AWS Secrets Manager grupos e eventos de CloudWatch log.

A função AWSService RoleForDataSync vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `datasync.amazonaws.com`

A função vinculada ao serviço usa a política AWS gerenciada chamada [AWSDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-awsdatasyncservicerolepolicy), que permite DataSync concluir as seguintes ações nos recursos especificados:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "DataSyncCloudWatchLogCreateAccess",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:*:logs:*:*:log-group:/aws/datasync*"
            ]
        },
        {
            "Sid": "DataSyncCloudWatchLogStreamUpdateAccess",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:*:logs:*:*:log-group:/aws/datasync*:log-stream:*"
            ]
        },
        {
            "Sid": "DataSyncSecretsManagerReadAccess",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:*:secretsmanager:*:*:secret:aws-datasync!*"
            ],
            "Condition": {
                "StringEquals": {
                    "secretsmanager:ResourceTag/aws:secretsmanager:owningService": "aws-datasync",
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}
```

------

Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criação de uma função vinculada ao serviço para DataSync
<a name="create-service-linked-role-service-action-2"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma DataSync tarefa na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, DataSync cria a função vinculada ao serviço para você. 

Na AWS CLI ou na AWS API, você pode criar uma função vinculada ao serviço com o nome do `datasync.amazonaws.com` serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma DataSync tarefa, DataSync cria a função vinculada ao serviço para você novamente. 

Se excluir esse perfil vinculado ao serviço, será possível usar o mesmo processo do IAM para criar o perfil novamente.

## Editando uma função vinculada ao serviço para DataSync
<a name="edit-service-linked-role-service-action-2"></a>

DataSync não permite que você edite a função AWSService RoleForDataSync vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para DataSync
<a name="delete-service-linked-role-service-action-2"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

### Limpar um perfil vinculado ao serviço
<a name="service-linked-role-review-before-delete-service-action-2"></a>

Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.

**nota**  
Se o DataSync serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir DataSync recursos usados pelo AWSService RoleForDataSync**

1. [Exclua DataSync os agentes](clean-up.md#deleting-agent) usados pela tarefa (se houver).

1. [Exclua os locais da tarefa](clean-up.md#deleting-location).

1. [Exclua a tarefa](clean-up.md#delete-task).

### Excluir manualmente o perfil vinculado ao serviço
<a name="slr-manual-delete-service-action-2"></a>

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForDataSync vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões suportadas para funções vinculadas a DataSync serviços
<a name="slr-regions-service-action-2"></a>

DataSync suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).