# Segurança no AWS Global Accelerator
A segurança na nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiará de data centers e arquiteturas de rede criados para atender aos requisitos das empresas com as maiores exigências de segurança.
A segurança é uma responsabilidade compartilhada entre a AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como a segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem:** AWS é responsável pela proteção da infraestrutura que executaAWS produtos da Nuvem AWS na AWS. A também fornece serviços que podem ser usados com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao AWS Global Accelerator, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** –- Sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Global Accelerator. Os tópicos a seguir mostram como configurar o Global Accelerator para atender aos seus objetivos de segurança e conformidade. Saiba também como usar outros produtos da AWS que ajudam a monitorar e proteger os recursos do Global Accelerator.
**Topics**
+ [Identity and Access Management](security-iam.md)
+ [Conexões de VPC seguras](secure-vpc-connections.md)
+ [Logging e monitoramento](logging-and-monitoring.md)
+ [Validação de conformidade](compliance-validation.md)
+ [Resiliência](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura](infrastructure-security.md)
# Gerenciamento de identidade e acesso para o AWS Global Accelerator
AWS Identity and Access Management (IAM) é um serviço da AWS service (Serviço da AWS) que ajuda o administrador no controle de segurança de acesso aos recursos da AWS de forma segura. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar recursos do Global Accelerator. O IAM é um AWS service (Serviço da AWS) que pode ser usado sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticando com identidades](#security_iam_authentication)
+ [Gerenciando acesso usando políticas](#security_iam_access-manage)
+ [Como o Global Accelerator funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [Perfil vinculado a serviço](using-service-linked-roles.md)
+ [Políticas gerenciadas pela AWS](security-iam-awsmanpol-aga.md)
+ [Políticas baseadas em tags](security_iam-tag-policies.md)
+ [Solução de problemas](security_iam_troubleshoot.md)
## Público
O uso do AWS Identity and Access Management (IAM) varia dependendo do trabalho realizado no Global Accelerator.
**Usuário do serviço**: se você usa o serviço Global Accelerator para fazer o trabalho, o administrador fornece as credenciais e as permissões necessárias. À medida que usar mais recursos do Global Accelerator para fazer seu trabalho, você poderá precisar de permissões adicionais. Entender como o acesso é gerenciado pode ajudar você a solicitar as permissões corretas ao seu administrador. Se não for possível acessar um atributo no Global Accelerator, consulte [Solução de problemas de identidade e acesso do AWS Global Accelerator](security_iam_troubleshoot.md).
**Administrador do serviço**: se você for o responsável pelos recursos do Global Accelerator na empresa, provavelmente terá acesso total ao Global Accelerator. Cabe a você determinar quais atributos e recursos do Global Accelerator os usuários do serviço devem acessar. Assim, você deve enviar solicitações ao administrador do IAM para alterar as permissões dos usuários de seu serviço. Revise as informações nesta página para entender os Introdução ao IAM. Para saber mais sobre como a empresa pode usar o IAM com o Global Accelerator, consulte [Como o AWS Global Accelerator funciona com o IAM](security_iam_service-with-iam.md).
**Administrador do IAM**: se você é um administrador do IAM, talvez queira saber detalhes sobre como pode escrever políticas para gerenciar o acesso ao Global Accelerator. Para visualizar exemplos de políticas baseadas em identidade do Global Accelerator que podem ser usadas no IAM, consulte [Exemplos de políticas baseadas em identidade para o AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## Autenticando com identidades
A autenticação é a forma como você faz login na AWS usando suas credenciais de identidade. É necessário ser *autenticado* (fazer login na AWS) como Usuário raiz da conta da AWS, como usuário do IAM, ou assumindo um perfil do IAM.
Você pode fazer login na AWS como uma identidade federada usando credenciais fornecidas por uma fonte de identidades. Centro de Identidade do AWS IAM Os usuários (IAM Identity Center), a autenticação única da empresa e as suas credenciais do Google ou do Facebook são exemplos de identidades federadas. Quando você faz login como identidade federada, o administrador já configurou anteriormente a federação de identidades usando perfis do IAM. Quando você acessa a AWS usando a federação, está indiretamente assumindo um perfil.
A depender do tipo de usuário, você pode fazer login no Console de gerenciamento da AWS ou no portal de acesso AWS. Para obter mais informações sobre como fazer login na AWS, consulte [Como fazer login na contaConta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Início de Sessão da AWS Guia do usuário* .
Se você acessar a AWS programaticamente, a AWS fornecerá um kit de desenvolvimento de software (SDK) e uma interface de linha de comando (CLI) para você assinar criptograficamente as solicitações usando as suas credenciais. Se você não utilizar as ferramentas AWS, deverá designar as solicitações por conta própria. Para obter mais informações sobre como usar o método recomendado para assinar as solicitações por conta própria, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
Independente do método de autenticação usado, também pode ser exigido que você forneça informações adicionais de segurança. Por exemplo, a AWS recomenda o uso da autenticação multifator (MFA) para aumentar a segurança de sua conta. Para saber mais, consulte [Multi-factor authentication](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) no *Guia do usuário do Centro de Identidade do AWS IAM* e [Código da autenticação multifator no IAM da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) no *Guia do usuário do IAM*.
### Usuário raiz Conta da AWS
Ao criar uma Conta da AWS, você começa com uma identidade de login com acesso completo a todos os Serviços da AWS e recursos na conta. Essa identidade, chamada *usuário raiz* da Conta da AWS, é acessada por login com o endereço de e-mail e a senha usada para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para obter a lista completa das tarefas que exigem login como usuário raiz, consulte [Tarefas que exigem credenciais de usuário raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do Usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários, inclusive os que precisam de acesso de administrador, usem a federação com um provedor de identidades para acessar os Serviços da AWS usando credenciais temporárias.
*Identidade federada* é um usuário de seu diretório de usuários corporativos, um provedor de identidades da web, o Directory Service, o diretório do Identity Center, ou qualquer usuário que acesse os Serviços da AWS usando credenciais fornecidas por meio de uma fonte de identidade. Quando as identidades federadas acessam Contas da AWS, elas assumem perfis que fornecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos usar o Centro de Identidade do AWS IAM. Você pode criar usuários e grupos no IAM Identity Center ou conectar-se e sincronizar com um conjunto de usuários e grupos em sua própria fonte de identidade para uso em todas as suas Contas da AWS e aplicações. Para obter mais informações sobre o Centro de Identidade do IAM, consulte [O que é o Centro de Identidade do IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Manual do Usuário doCentro de Identidade do AWS IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade dentro da Conta da AWS que tem permissões específicas para uma única pessoa ou aplicativo. Sempre que possível, recomendamos contar com credenciais temporárias em vez de criar usuários do IAM com credenciais de longo prazo, como senhas e chaves de acesso. No entanto, se você tiver casos de uso específicos que exijam credenciais de longo prazo com usuários do IAM, recomendamos alternar as chaves de acesso. Para obter mais informações, consulte [Alterne as chaves de acesso regularmente para casos de uso que exijam credenciais de longo prazo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) no *Guia do Usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) é uma identidade que especifica uma coleção de usuários do IAM. Não é possível fazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários de uma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Por exemplo, você pode ter um grupo chamado *IAMAdmins* e conceder a esse grupo permissões para administrar recursos do IAM.
Usuários são diferentes de perfis. Um usuário é exclusivamente associado a uma pessoa ou a uma aplicação, mas um perfil pode ser assumido por qualquer pessoa que precisar dele. Os usuários têm credenciais permanentes de longo prazo, mas os perfis fornecem credenciais temporárias. Para saber mais, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Um *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade dentro da Conta da AWS que tem permissões específicas. Ele é semelhante a um usuário do IAM, mas não está associado a uma pessoa específica. Para assumir temporariamente um perfil do IAM no Console de gerenciamento da AWS, você pode [alternar de um usuário para um perfil do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). É possível presumir um perfil chamando uma operação de API da AWS CLI ou da AWS, ou usando um URL personalizado. Para obter mais informações sobre métodos para usar perfis, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Guia do usuário do IAM*.
Funções do IAM com credenciais temporárias são úteis nas seguintes situações:
+ **Acesso de usuário federado**: para atribuir permissões a identidades federadas, você pode criar um perfil e definir permissões para ele. Quando uma identidade federada é autenticada, essa identidade é associada ao perfil e recebe as permissões definidas pelo mesmo. Para obter mais informações sobre perfis para federação, consulte [Criar um perfil para um provedor de identidades de terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*. Se você usar o Centro de identidade do IAM, configure um conjunto de permissões. Para controlar o que suas identidades podem acessar após a autenticação, o Centro de identidade do IAM correlaciona o conjunto de permissões a um perfil no IAM. Para obter informações sobre conjuntos de permissões, consulte [Conjuntos de Permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Manual do Usuário do Centro de Identidade do AWS IAM*.
+ **Permissões temporárias para usuários do IAM** –- um usuário ou um perfil do IAM pode presumir um perfil do IAM para obter temporariamente permissões diferentes para uma tarefa específica.
+ **Acesso entre contas** –- é possível usar um perfil do IAM para permitir que alguém (uma entidade principal confiável) em outra conta acesse recursos em sua conta. Os perfis são a principal forma de conceder acesso entre contas. No entanto, alguns Serviços da AWS permitem que você anexe uma política diretamente a um recurso (em vez de usar um perfil como proxy). Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
+ **Acesso entre serviços**: alguns Serviços da AWS usam atributos em outros Serviços da AWS. Por exemplo, quando você faz uma chamada em um serviço, é comum que esse serviço execute aplicativos no Amazon EC2 ou armazene objetos no Amazon S3. Um serviço pode fazer isso usando as permissões do principal de chamada, usando um perfil de serviço ou um perfil vinculado a serviço.
+ **Encaminhamento de sessões de acesso (FAS)**: qualquer pessoa que utilizar uma função ou usuário do IAM para realizar ações na AWS é considerada uma entidade principal. Ao usar alguns serviços, você pode executar uma ação que inicia outra ação em um serviço diferente. O recurso FAS utiliza as permissões da entidade principal que chama um AWS service (Serviço da AWS), combinadas às permissões do AWS service (Serviço da AWS) solicitante, para realizar solicitações para serviços downstream. As solicitações de FAS só são feitas quando um serviço recebe uma solicitação que exige interações com outros Serviços da AWS ou com recursos para serem concluídas. Nesse caso, você precisa ter permissões para executar ambas as ações. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Encaminhar sessões de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ **Função de serviço**: um perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para realizar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para obter mais informações, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
+ **Perfil vinculado a serviço**: um perfil vinculado a serviço é um tipo de perfil de serviço vinculado a um AWS service (Serviço da AWS). O serviço pode presumir a função de executar uma ação em seu nome. Funções vinculadas ao serviço aparecem em sua Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para funções vinculadas ao serviço.
+ **Aplicações em execução no Amazon EC2**: é possível usar um perfil do IAM para gerenciar credenciais temporárias para aplicações em execução em uma instância do EC2 e fazer solicitações da AWS CLI ou da AWS API. É preferível fazer isso a armazenar chaves de acesso na instância do EC2. Para atribuir um perfil da AWS a uma instância do EC2 e disponibilizá-la para todas as suas aplicações, crie um perfil de instância que esteja anexado a ela. Um perfil de instância contém o perfil e permite que os programas em execução na instância do EC2 obtenham credenciais temporárias. Para mais informações, consulte [Utilizar um perfil do IAM para conceder permissões a aplicações em execução nas instâncias do Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) no *Guia do usuário do IAM*.
## Gerenciando acesso usando políticas
Você controla o acesso na AWS criando políticas e anexando-as a identidades ou atributos da AWS. Uma política é um objeto na AWS que, quando associado a uma identidade ou recurso, define suas permissões. A AWS avalia essas políticas quando uma entidade principal (usuário, usuário raiz ou sessão de perfil) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas é armazenada na AWS como documentos JSON. Para obter mais informações sobre a estrutura e o conteúdo de documentos de políticas JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do Usuário do IAM*.
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a o quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
Por padrão, usuários e funções não têm permissões. Para conceder aos usuários permissões para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis e os usuários podem presumir os perfis.
As políticas do IAM definem permissões para uma ação independente do método usado para executar a operação. Por exemplo, suponha que você tenha uma política que permite a ação `iam:GetRole`. Um usuário com essa política pode obter informações de perfis do Console de gerenciamento da AWS, da AWS CLI ou da API da AWS.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissões JSON que você pode anexar a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do usuário do IAM*.
As políticas baseadas em identidade podem ser categorizadas ainda adicionalmente como *políticas em linha* ou *políticas gerenciadas*. As políticas em linha são anexadas diretamente a um único usuário, grupo ou perfil. As políticas gerenciadas são políticas independentes que podem ser anexadas a vários usuários, grupos e perfis na Conta da AWS. As políticas gerenciadas incluem políticas gerenciadas pela AWS e políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas no recurso
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços que suportem políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o recurso ao qual a política está anexada, a política define quais ações um principal especificado pode executar nesse recurso e em que condições. Você deve [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. As entidades principais podem incluir contas, usuários, perfis, usuários federados ou Serviços da AWS.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Não é possível usar as políticas gerenciadas da AWS do IAM em uma política baseada em atributos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais entidades principais (membros, usuários ou perfis da conta) têm permissões para acessar um recurso. As ACLs são semelhantes as políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
Amazon S3, AWS WAF e Amazon VPC são exemplos de serviços que oferecem compatibilidade com ACLs. Para saber mais sobre ACLs, consulte [Visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do Desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
A AWS oferece compatibilidade com tipos de política menos comuns. Esses tipos de política podem definir o máximo de permissões concedidas a você pelos tipos de política mais comuns.
+ **Limites de permissões**: um limite de permissões é um atributo avançado no qual você define o máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM (usuário ou perfil do IAM). É possível definir um limite de permissões para uma entidade. As permissões resultantes são a interseção das políticas baseadas em identidade de uma entidade com seus limites de permissões. As políticas baseadas em recurso que especificam o usuário ou o perfil no campo `Principal` não são limitadas pelo limite de permissões. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do Usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** –- SCPs são políticas JSON que especificam as permissões máximas para uma organização ou unidade organizacional (UO) no AWS Organizations. O AWS Organizations é um serviço que agrupa e gerencia centralmente várias Contas da AWS pertencentes a sua empresa. Se você habilitar todos os atributos em uma organização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas as contas. O SCP limita as permissões para entidades em contas membro, o que inclui cada Usuário raiz da conta da AWS. Para obter mais informações sobre o Organizations e SCPs, consulte [Service control policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations*.
+ **Políticas de sessão**: são políticas avançadas que você transmite como um parâmetro quando cria de forma programática uma sessão temporária para um perfil ou um usuário federado. As permissões da sessão resultante são a interseção das políticas baseadas em identidade do usuário ou do perfil e das políticas de sessão. As permissões também podem ser provenientes de uma política baseada em atributo. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do Usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como a AWS determina permitir ou não uma solicitação quando há vários tipos de política envolvidos, consulte [Lógica da avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do Usuário do IAM*.
# Como o AWS Global Accelerator funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Global Accelerator, saiba quais atributos do IAM estão disponíveis para uso com o Global Accelerator.
Para ver tabelas que mostrem uma visão similar de alto nível sobre como os serviços da AWS funcionam com a maioria dos recursos do IAM, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**atributos do IAM que você pode usar com o AWS Global Accelerator**
| Atributo do IAM | Compatibilidade do Global Accelerator |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recursos](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações das políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Atributos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Sim |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Parcial |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Não |
| [Funções vinculadas ao serviço](#security_iam_service-with-iam-roles-service-linked) | Sim |
## Políticas baseadas em identidade para o Global Accelerator
**Compatível com políticas baseadas em identidade:** Sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que você pode anexar a uma identidade, como usuário, grupo de usuários ou perfil do IAM. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões do IAM personalizadas com políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Você não pode especificar a entidade principal em uma política baseada em identidade porque ela se aplica ao usuário ou perfil ao qual ela está anexada. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elementos da política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do Usuário do IAM*.
Para visualizar exemplos de políticas baseadas em identidade do Global Accelerator, consulte [Exemplos de políticas baseadas em identidade para o AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos no Global Accelerator
**Suporte a políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as políticas de confiança de perfil do IAM e as políticas de bucket do Amazon S3. Em serviços que suportem políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico.
## Ações de políticas para o Global Accelerator
**Compatível com ações de políticas:** Sim
Os administradores podem usar AWS as políticas JSON para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos**, e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que você pode usar para permitir ou negar acesso em uma política. As ações de políticas geralmente têm o mesmo nome que a operação de API da AWS associada. Existem algumas exceções, como *ações somente de permissão*, que não têm uma operação de API correspondente. Algumas operações também exigem várias ações em uma política. Essas ações adicionais são chamadas de *ações dependentes*.
Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista das ações do Global Accelerator, consulte [Ações definidas pelo AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-actions-as-permissions) na *Referência de autorização do serviço*.
As ações de políticas no Global Accelerator usam o seguinte prefixo antes da ação:
```
aws-globalaccelerator
```
Para especificar várias ações em uma única instrução, separe-as com vírgulas.
```
"Action": [
"aws-globalaccelerator:action1",
"aws-globalaccelerator:action2"
]
```
Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "aws-globalaccelerator:Describe*"
```
Para visualizar exemplos de políticas baseadas em identidade do Global Accelerator, consulte [Exemplos de políticas baseadas em identidade para o AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## Recursos de políticas para o Global Accelerator
**Compatível com recursos de políticas:** Sim
Os administradores podem usar AWS as políticas JSON para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos**, e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devem incluir um elemento `Resource` ou `NotResource`. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Isso pode ser feito para ações que oferecem compatibilidade com um tipo de recurso específico, conhecido como *permissões em nível de recurso*.
Para ações que não oferecem compatibilidade com permissões em nível de recurso, como operações de listagem, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Na *Referência de autorização de serviço*, é possível ver as informações a seguir relacionadas ao Global Accelerator:
+ Para ver uma lista de tipos de recursos do Global Accelerator e seus ARNs, consulte [Recursos definidos pelo AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-resources-for-iam-policies).
+ Para saber quais ações é possível especificar com o ARN de cada recurso, consulte [Ações definidas pelo AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-actions-as-permissions).
Para visualizar exemplos de políticas baseadas em identidade do Global Accelerator, consulte [Exemplos de políticas baseadas em identidade para o AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## Chaves de condição de políticas para o Global Accelerator
**Compatível com chaves de condição de política específicas de serviço:** Sim
Os administradores podem usar AWS as políticas JSON para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos**, e em que **condições**.
O elemento `Condition` (ou *bloco* `Condition`) permite que você especifique condições nas quais uma instrução estiver em vigor. O elemento `Condition` é opcional. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação.
Se você especificar vários elementos `Condition` em uma instrução ou várias chaves em um único `Condition` elemento, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, a AWS avaliará a condição usando uma operação lógica `OR`. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.
Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, é possível conceder a um usuário do IAM permissão para acessar um atributo somente se ele estiver marcado com seu nome de usuário do IAM. Para obter mais informações, consulte [Elementos da política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*.
A AWS oferece compatibilidade com chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição globais da AWS, consulte [Chaves de Contexto de Condição Globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do Usuário do IAM*.
Para ver uma lista das chaves de condição do Global Accelerator, consulte [Chaves de condição do AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-policy-keys) na *Referência de autorização do serviço*. Para saber com quais ações e recursos é possível usar uma chave de condição, consulte [Ações definidas pelo AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-actions-as-permissions).
Para visualizar exemplos de políticas baseadas em identidade do Global Accelerator, consulte [Exemplos de políticas baseadas em identidade para o AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## ACLs no Global Accelerator
**Compatível com ACLs:** sim
As listas de controle de acesso (ACLs) controlam quais entidades principais (membros, usuários ou perfis da conta) têm permissões para acessar um recurso. As ACLs são semelhantes as políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com Global Accelerator
**Compatível com ABAC (tags em políticas):** Parcial
O Global Accelerator é compatível *parcialmente* com tags nas políticas. Ele é compatível com a aplicação de tags a um recurso, os aceleradores. Para obter mais informações sobre o uso de tags nas condições da declaração de políticas e para visualizar um exemplo de política para limitar o acesso a um recurso com base nas tags do recurso, consulte [Como usar políticas baseadas em tags com o AWS Global Accelerator](security_iam-tag-policies.md).
Para obter mais informações sobre recursos de aplicação de tags do Global Accelerator, consulte [Marcar no AWS Global Accelerator](tagging-in-global-accelerator.md).
Para saber mais sobre o uso de tags em políticas, consulte as informações a seguir.
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos. Na AWS, esses atributos são chamados de *tags*. É possível anexar tags a entidades do IAM (usuários ou perfis) e a muitos recursos da AWS. A marcação de entidades e atributos é a primeira etapa do ABAC. Em seguida, você cria políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso que ela estiver tentando acessar.
O ABAC é útil em ambientes que estão crescendo rapidamente e ajuda em situações onde o gerenciamento de políticas se torna um problema.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço oferecer suporte às três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço oferecer suporte às três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para obter mais informações sobre ABAC, consulte [Definir permissões com autorização ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do Usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Utilizar controle de acesso baseado em atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Como usar credenciais temporárias com o Global Accelerator
**Compatível com credenciais temporárias:** Sim
Alguns Serviços da AWS não funcionam quando você faz login usando credenciais temporárias. Para obter informações adicionais, como quais Serviços da AWS funcionam com credenciais temporárias, consulte [Serviços da AWS que funcionem com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do Usuário do IAM*.
Você está usando credenciais temporárias se fizer login no Console de gerenciamento da AWS por qualquer método, exceto nome de usuário e uma senha. Por exemplo, quando você acessa a AWS usando o link de autenticação única (SSO) da sua empresa, esse processo cria credenciais temporárias automaticamente. Você também cria automaticamente credenciais temporárias quando faz login no console como usuário e, em seguida, alterna perfis. Para obter mais informações sobre como alternar funções, consulte [Alternar de um usuário para um perfil do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) no *Guia do Usuário do IAM*.
Você pode criar credenciais temporárias manualmente usando a API AWS CLI ou AWS. Em seguida, você pode usar essas credenciais temporárias para acessar aAWS .AWS A recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html).
## Permissões de entidade principal entre serviços para o Global Accelerator
**Suporte ao recurso de encaminhamento de sessões de acesso (FAS):** sim
Quando você usa um usuário ou um perfil do IAM para executar ações na AWS, você é considerado uma entidade principal. Ao usar alguns serviços, você pode executar uma ação que inicia outra ação em um serviço diferente. O recurso FAS utiliza as permissões da entidade principal que chama um AWS service (Serviço da AWS), combinadas às permissões do AWS service (Serviço da AWS) solicitante, para realizar solicitações para serviços downstream. As solicitações de FAS só são feitas quando um serviço recebe uma solicitação que exige interações com outros Serviços da AWS ou com recursos para serem concluídas. Nesse caso, você precisa ter permissões para executar ambas as ações. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Encaminhar sessões de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis de serviço do Global Accelerator
**Compatível com perfis de serviço:** não
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para realizar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para obter mais informações, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
## Perfil vinculado ao serviço do Global Accelerator
**Suporte a perfis vinculados a serviços:** sim
Um perfil vinculado ao serviço é um tipo de perfil de serviço vinculado a um AWS service (Serviço da AWS). O serviço pode presumir a função de executar uma ação em seu nome. Funções vinculadas ao serviço aparecem em sua Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para funções vinculadas ao serviço.
Para obter mais informações sobre o perfil vinculado ao serviço para o Global Accelerator, consulte [Função vinculada ao serviço para AWS Global Accelerator](using-service-linked-roles.md).
Para obter detalhes sobre a criação ou o gerenciamento de funções vinculadas a serviços em geral na AWS, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Função vinculada ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para o AWS Global Accelerator
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do Global Accelerator. Eles também não podem executar tarefas usando o Console de gerenciamento da AWS, a AWS Command Line Interface (AWS CLI) ou a API AWS. Para conceder aos usuários permissão para executar ações nos recursos de que precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis e os usuários podem presumir os perfis.
Para saber como criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos pelo Global Accelerator, incluindo o formato dos ARNs para cada tipo de recurso, consulte [Ações, recursos e chaves de condição para o AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html) na *Referência de autorização de serviço*.
**Topics**
+ [Melhores práticas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Como criar um acelerador do Global Accelerator](#security_iam_id-based-policy-examples-create-accelerator)
+ [Como usar o console do Global Accelerator](#security_iam_id-based-policy-examples-console)
+ [Como usar uma ação de API do Global Accelerator](#security_iam_id-based-policy-examples-api)
+ [Permitir que usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Melhores práticas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Global Accelerator em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas gerenciadas pela AWS e avance para as permissões de privilégio mínimo** –- para começar a conceder permissões a seus usuários e workloads, use as *políticas gerenciadas pela AWS*, que concedem permissões para muitos casos de uso comuns. Elas estão disponíveis em seus Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente AWS específicas para seus casos de uso. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do Usuário do IAM*.
+ **Aplique permissões de privilégio mínimo** –- ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do Usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso** –- você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode gravar uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso a ações de serviço, se elas forem usadas por meio de um AWS service (Serviço da AWS) específico, como o CloudFormation. Para obter mais informações, consulte [Elementos da política JSON do IAM: Condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais** –- o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de 100 verificações de política e recomendações acionáveis para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte [Validar políticas com o IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do usuário do IAM*.
+ **Exigir autenticação multifator (MFA)** –- se houver um cenário que exija usuários do IAM ou um usuário raiz em sua Conta da AWS, ative a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte [Acesso seguro à API com MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para obter mais informações sobre as práticas recomendadas do IAM, consulte [Práticas Recomendadas de Segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do Usuário do IAM*.
## Como criar um acelerador do Global Accelerator
Para criar um acelerador do AWS Global Accelerator, os usuários devem ter permissão para criar perfis vinculados a serviços associados ao Global Accelerator.
Para garantir que os usuários tenham as permissões corretas para criar aceleradores no Global Accelerator, anexe uma política ao usuário como a seguinte.
**nota**
Se você criar uma política de permissões baseada em identidade mais restritiva do que a política a seguir, os usuários com a política mais restritiva não poderão criar um acelerador.
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "globalaccelerator.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*"
}
```
## Como usar o console do Global Accelerator
Para acessar o console do AWS Global Accelerator, você deve ter um conjunto mínimo de permissões. Essas permissões dão autorização para que você liste e visualize detalhes sobre os recursos do Global Accelerator na sua conta da Conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva do que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Não é necessário conceder permissões mínimas do console para usuários fazendo chamadas somente para AWS CLI ou para a API do AWS. Em vez disso, permita o acesso somente a ações que correspondam a operação de API que estiverem tentando executar.
Para garantir que usuários e perfis ainda possam usar o console do Global Accelerator, anexe também a política gerenciada da AWS `GlobalAcceleratorReadOnlyAccess` ou `GlobalAcceleratorFullAccess` às entidades.
Anexe a primeira política, `GlobalAcceleratorReadOnlyAccess`, se os usuários precisarem apenas visualizar as informações no console ou fazer chamadas para a AWS Command Line Interface ou para a API que usa as operações `List*` ou `Describe*`.
Anexe a segunda política, `GlobalAcceleratorFullAccess`, aos usuários que precisam criar ou fazer atualizações nos aceleradores. A política de acesso total inclui permissões *full* para o Global Accelerator, bem como permissões *describe* para o Amazon EC2 e o Elastic Load Balancing.
**nota**
Se você criar uma política de permissões baseada em identidade que não inclua as permissões necessárias para o Amazon EC2 e o Elastic Load Balancing, os usuários com essa política não poderão adicionar recursos do Amazon EC2 e do Elastic Load Balancing aos aceleradores.
Para obter mais informações, consulte a [Página de políticas gerenciadas pela AWS](security-iam-awsmanpol-aga.md) do Global Accelerator ou [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Como usar uma ação de API do Global Accelerator
O AWS Global Accelerator é compatível com o uso de ações em uma política. Isso permite que um administrador controle se uma entidade pode concluir uma operação no Global Accelerator.
Por exemplo, a política a seguir permite que um usuário execute a operação `CreateAccelerator` para criar, de modo programático, um acelerador em uma conta da AWS:
```
{
"Version": "2018-08-08",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:CreateAccelerator"
],
"Resource":"*"
}
]
}
```
## Permitir que usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou de forma programática usando a AWS CLI ou a AWS API.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Função vinculada ao serviço para AWS Global Accelerator
O AWS Global Accelerator usa um [perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) do AWS Identity and Access Management (IAM). O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Global Accelerator. O perfil vinculado ao serviço é predefinido pelo Global Accelerator e inclui todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Um perfil vinculado ao serviço facilita a configuração do Global Accelerator porque não é preciso adicionar as permissões necessárias manualmente. O Global Accelerator define as permissões do perfil vinculado ao serviço e, exceto se definido de outra forma, somente o Global Accelerator pode assumir seu perfil. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus recursos do Global Accelerator, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com funções vinculadas aos serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que apresentam **Sim** na coluna **Funções vinculadas aos serviços**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de perfil vinculado ao serviço para o Global Accelerator
O AWS Global Accelerator usa um perfil vinculado ao serviço chamado **AWSServiceRoleForGlobalAccelerator**. Esse perfil permite que o Global Accelerator acesse recursos em sua conta, como balanceadores de carga e outros endpoints, para ajudar a garantir, por exemplo, que você possa adicionar somente recursos configurados para funcionar com o Global Accelerator. O perfil AWSServiceRoleForGlobalAccelerator também permite que o Global Accelerator crie e gerencie os recursos necessários para a preservação do endereço IP do cliente.
O Global Accelerator cria automaticamente um perfil chamado AWSServiceRoleForGlobalAccelerator quando o perfil é exigido pela primeira vez para oferecer compatibilidade com uma operação de API do Global Accelerator. Esse perfil é necessário para usar aceleradores no Global Accelerator. O ARN para o perfil AWSServiceRoleForGlobalAccelerator é semelhante a:
`arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator`
### Permissões de perfil vinculado ao serviço
O Global Accelerator usa o perfil vinculado ao serviço chamado **AWSServiceRoleForGlobalAccelerator** para acessar recursos e configurações para verificar a prontidão. Esse perfil vinculado ao serviço usa a política gerenciada `AWSGlobalAcceleratorSLRPolicy`.
O perfil vinculado ao serviço AWSServiceRoleForGlobalAccelerator confia no serviço a seguir para assumir o perfil:
+ `globalaccelerator.amazonaws.com`
Para visualizar as permissões para esta política, consulte [AWSGlobalAcceleratorSLRPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSGlobalAcceleratorSLRPolicy.html) na *Referência de políticas gerenciadas pela AWS*.
Você deve configurar permissões para permitir que uma entidade do IAM (como um usuário, grupo ou perfil) exclua um perfil vinculado ao serviço do Global Accelerator. Para mais informações, consulte [Permissões de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Como criar um perfil vinculado ao serviço do Global Accelerator
Você não precisa criar manualmente um perfil vinculado ao serviço para o Global Accelerator. O serviço cria o perfil para você automaticamente quando você cria um acelerador pela primeira vez. Se você remover seus recursos do Global Accelerator e excluir o perfil vinculado ao serviço, o serviço criará o perfil outra vez automaticamente quando você criar um novo acelerador.
## Como editar o perfil vinculado ao serviço do Global Accelerator
O Global Accelerator não permite editar o perfil vinculado ao serviço AWSServiceRoleForGlobalAccelerator. Depois que o serviço criar uma função vinculada a serviço, você não poderá alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, você poderá editar a descrição de uma função usando o IAM. Para obter mais informações, consulte [Editar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Como excluir o perfil vinculado ao serviço do Global Accelerator
Se você não precisa mais usar o Global Accelerator, recomendamos que exclua o perfil vinculado ao serviço. Dessa forma, você não tem entidades não utilizadas que não sejam monitoradas ou mantidas ativamente. No entanto, você deve limpar os recursos do Global Accelerator em sua conta antes de poder excluir manualmente os perfis.
Depois de desabilitar e excluir seus aceleradores, você poderá excluir o perfil vinculado ao serviço. Para obter mais informações sobre a exclusão de aceleradores, consulte [Criar acelerador](about-accelerators.creating-editing.md).
**nota**
Se você desabilitou e excluiu seus aceleradores, mas a atualização do Global Accelerator não foi concluída, a exclusão do perfil vinculado ao serviço poderá falhar. Se isso acontecer, espere alguns minutos e tente as etapas de exclusão do perfil vinculado ao serviço novamente.
**Para excluir o perfil vinculado ao serviço AWSServiceRoleForGlobalAccelerator manualmente**
1. Faça login em Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, escolha **Roles**. Selecione a caixa de marcação ao lado do nome da função que você deseja excluir, não o nome ou a linha em si.
1. Em ações de **Role (Função)** na parte superior da página, escolha a função **Delete (Excluir)**.
1. Na caixa de diálogo de confirmação, revise os dados do último acesso ao serviço que mostram quando cada uma das funções selecionadas acessou pela última vez um produto da AWS. Isso ajuda você a confirmar se a função está ativo no momento. Se quiser prosseguir, escolha **Sim, Excluir** para enviar a função vinculada ao serviço para exclusão.
1. Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão da função vinculada ao serviço do IAM é assíncrona, depois de enviar a função para exclusão, a tarefa de exclusão pode ou não ser bem-sucedida. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Atualizações na política do perfil vinculado ao serviço do Global Accelerator
Para conferir as atualizações de `AWSGlobalAcceleratorSLRPolicy`, a política gerenciada pela AWS para perfis vinculados ao serviço do Global Accelerator, consulte a [Tabela de atualizações das políticas gerenciadas pela AWS](security-iam-awsmanpol-aga.md#security-iam-awsmanpol-globalaccelerator-updates). Você também pode assinar alertas automáticos de RSS na página do AWS Global Accelerator [Histórico do documento](WhatsNew.md).
# Políticas gerenciadas pela AWS para o AWS Global Accelerator
Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.
Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo [políticas gerenciadas pelo cliente da ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para seus casos de uso.
Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.
Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## Política gerenciada pela AWS: AWSServiceRoleForGlobalAccelerator
Não é possível anexar `AWSServiceRoleForGlobalAccelerator` às entidades do IAM. Esta política é anexada a um perfil vinculado ao serviço que permite que o AWS Global Accelerator acesse os serviços e recursos da AWS que são usados ou gerenciados pelo Global Accelerator. Para ter mais informações, consulte [Função vinculada ao serviço para AWS Global Accelerator](using-service-linked-roles.md).
## Política gerenciada pela AWS: GlobalAcceleratorReadOnlyAccess
Você pode anexar `GlobalAcceleratorReadOnlyAccess` às entidades do IAM. Esta política concede acesso de somente leitura a ações para trabalhar com aceleradores no Global Accelerator. É útil para usuários que só precisam visualizar informações no console ou fazer chamadas para a AWS Command Line Interface ou para a API que usa as operações `List*` ou `Describe*`.
Para visualizar as permissões para esta política, consulte [GlobalAcceleratorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GlobalAcceleratorReadOnlyAccess.html) na *Referência de políticas gerenciadas pela AWS*.
## Política gerenciada pela AWS: GlobalAcceleratorFullAccess
Você pode anexar `GlobalAcceleratorFullAccess` às entidades do IAM. Esta política concede acesso total a ações para trabalhar com aceleradores no Global Accelerator. Anexe-a aos usuários do IAM e a outras entidades principais que precisam de acesso completo a ações do Global Accelerator.
**nota**
Se você criar uma política de permissões baseada em identidade que não inclua as permissões necessárias para o Amazon EC2 e o Elastic Load Balancing, os usuários com essa política não poderão adicionar recursos do Amazon EC2 e do Elastic Load Balancing aos aceleradores.
Para visualizar as permissões para esta política, consulte [GlobalAcceleratorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GlobalAcceleratorFullAccess.html) na *Referência de políticas gerenciadas pela AWS*.
## Atualizações do Global Accelerator para políticas gerenciadas pela AWS
Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS para o Global Accelerator desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações realizadas nesta página, assine o feed RSS na [página de histórico do documento](WhatsNew.md) do Global Accelerator.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSGlobalAcceleratorSLRPolicy](using-service-linked-roles.md#GAXSLRRole): política atualizada | O Global Accelerator adicionou uma nova permissão para descrever grupos destino em balanceadores de carga. O Global Accelerator usa `elasticloadbalancing:DescribeTargetGroups` para identificar balanceadores de carga com o tipo de destino `ip`, que não é um tipo de destino compatível com endpoints de balanceador de carga de pilha dupla no Global Accelerator. | 20 de outubro de 2023 |
| [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy): política atualizada | O Global Accelerator adicionou novas permissões para descrever receptores em balanceadores de carga e descrever endereços em instâncias do EC2. O Global Accelerator usa `elasticloadbalancing:DescribeListeners` para oferecer compatibilidade com a tomada de decisões de gerenciamento de receptores para balanceadores de carga, com base nas configurações do receptor. O Global Accelerator usa `ec2:DescribeAddresses` para adicionar endpoints de endereço IP elástico aos aceleradores. | 23 de maio de 2023 |
| [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy): política atualizada | O Global Accelerator adicionou novas permissões para oferecer compatibilidade com endereços IPv6. O Global Accelerator usa `ec2:AssignIpv6Addresses` para atualizar a ENI do Global Accelerator em uma sub-rede do cliente com um endereço IPv6 para enviar e receber tráfego IPv6 e usa `UnassignIpv6Addresses` para remover o endereço IPv6 quando ele não é mais necessário. | 15 de novembro de 2021 |
| [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy): política atualizada | O Global Accelerator adicionou uma nova permissão para ajudar o Global Accelerator a diagnosticar erros. O Global Accelerator usa `ec2:DescribeRegions` para determinar a região da AWS em que o cliente está, o que pode ajudar o Global Accelerator a solucionar erros. | 18 de maio de 2021 |
| O Global Accelerator começou a rastrear alterações | O Global Accelerator começou a rastrear alterações de suas políticas gerenciadas pela AWS. | 18 de maio de 2021 |
# Como usar políticas baseadas em tags com o AWS Global Accelerator
Ao criar políticas do IAM, você pode definir permissões granulares concedendo acesso a recursos específicos. No entanto, à medida que o número de recursos que você gerencia aumenta, essa tarefa se torna mais difícil. Aplicar tags a recursos e depois usá-las em condições de declaração de política pode facilitar essa tarefa. Você pode conceder acesso em massa a qualquer recurso que tenha determinada tag. Você pode aplicar essa tag repetidamente a recursos relevantes ao criar o recurso ou ao atualizá-lo posteriormente.
O uso de tags em condições é uma forma de controlar o acesso a recursos e solicitações. As tags podem ser anexadas a um recurso ou passadas na solicitação para serviços compatíveis com tags. No Global Accelerator, somente aceleradores podem incluir tags. Para obter mais informações sobre a aplicação de tags no Global Accelerator, consulte [Marcar no AWS Global Accelerator](tagging-in-global-accelerator.md).
Ao criar uma política do IAM, você poderá usar chaves de condição de tag para controlar:
+ Quais usuários podem executar ações em um acelerador, com base nas tags que ele já tem.
+ Quais tags podem ser transmitidas na solicitação de uma ação.
+ Se chaves de tags específicas podem ser usadas em uma solicitação.
Por exemplo, a política de usuário gerenciada pela AWS `GlobalAcceleratorFullAccess` oferece aos usuários permissão ilimitada para executar qualquer ação do Global Accelerator em qualquer recurso. A seguinte política limita esse poder e nega a usuários não autorizados permissão para realizar qualquer ação do Global Accelerator em qualquer acelerador de *produção*. O administrador de um cliente deve anexar essa política do IAM a usuários não autorizados do IAM, além da política de usuário gerenciada.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Action":"*",
"Resource":"*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:RequestTag/stage":"prod"
}
}
},
{
"Effect":"Deny",
"Action":"*",
"Resource":"*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:ResourceTag/stage":"prod"
}
}
}
]
}
```
Para obter a sintaxe e a semântica completas das chaves de condição de tag, consulte [Controlar o acesso usando tags do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) no *Guia do usuário do IAM*.
# Solução de problemas de identidade e acesso do AWS Global Accelerator
Use as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o Global Accelerator e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Global Accelerator](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a executar iam:PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que as pessoas fora da minha Conta da AWS acessem meus recursos do Global Accelerator](#security_iam_troubleshoot-cross-account-access)
## Não tenho autorização para executar uma ação no Global Accelerator
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `aws-globalaccelerator:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws-globalaccelerator:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `aws-globalaccelerator:GetWidget`.
Se você precisar de ajuda, entre em contato com seu administrador AWS. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a executar iam:PassRole
Se você receber uma mensagem de erro informando que não tem autorização para executar a ação `iam:PassRole`, as políticas deverão ser atualizadas para permitir que você exerça um perfil no Global Accelerator.
Alguns Serviços da AWS permitem que você passe um perfil existente para o serviço, em vez de criar um novo perfil de serviço ou perfil vinculado ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro de exemplo a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para executar uma ação no Global Accelerator. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se você precisar de ajuda, entre em contato com seu administrador AWS. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que as pessoas fora da minha Conta da AWS acessem meus recursos do Global Accelerator
Você pode criar um perfil que os usuários de outras contas ou pessoas fora da sua organização podem usar para acessar seus recursos. Você pode especificar quem é confiável para assumir o perfil. Para serviços que oferecem compatibilidade com políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Global Accelerator é compatível com esses atributos, consulte [Como o AWS Global Accelerator funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como conceder acesso a seus recursos em todas as Contas da AWS pertencentes a você, consulte [Fornecimento de acesso a um usuário do IAM em outra Conta da AWS pertencente a você](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia de usuário do IAM*.
+ Para saber como conceder acesso a seus recursos para terceiros Contas da AWS, consulte [Fornecimento de acesso a Contas da AWS pertencentes a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Conexões de VPC seguras no AWS Global Accelerator
Quando você adiciona um Network Load Balancer, um Application Load Balancer interno ou um endpoint de instância do Amazon EC2 ao AWS Global Accelerator, você permite que o tráfego da Internet flua diretamente de e para o endpoint em nuvens privadas virtuais (VPCs) direcionando-o para uma sub-rede privada. A VPC que contém o balanceador de carga ou a instância do EC2 deve ter um [gateway da internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) vinculado a ela, para indicar que a VPC aceita o tráfego da Internet. No entanto, você não precisa de endereços IP públicos no balanceador de carga ou na instância do EC2. Você também não precisa de uma rota de gateway da internet associada para a sub-rede.
É diferente do caso de uso típico do gateway da internet, no qual tanto os endereços IP públicos quanto as rotas do gateway da internet são necessários para que o tráfego da internet flua para instâncias ou balanceadores de carga em uma VPC. Mesmo que as interfaces de rede elásticas de seus destinos estejam presentes em uma sub-rede pública (ou seja, uma sub-rede com uma rota de gateway da internet), quando você usa o Global Accelerator para tráfego de internet, o Global Accelerator substitui a rota típica da internet e todas as conexões lógicas que chegam pelo Global Accelerator também retornam pelo Global Accelerator em vez de pelo gateway da internet.
**nota**
Usar endereços IP públicos e uma sub-rede pública para suas instâncias do Amazon EC2 não é comum, embora seja possível definir sua configuração com eles. Os grupos de segurança se aplicam a qualquer tráfego que chega às suas instâncias, incluindo tráfego do Global Accelerator e qualquer endereço IP público ou elástico atribuído à ENI da sua instância. Use sub-redes privadas para garantir que o tráfego seja entregue somente pelo Global Accelerator.
Para saber mais sobre como trabalhar com ENIs, grupos de segurança e o Global Accelerator, consulte [Requisitos para endpoints com preservação do endereço IP do cliente](about-endpoints.sipp-caveats.md).
Lembre-se dessas informações ao considerar problemas de perímetro de rede e configurar os privilégios do IAM relacionados ao gerenciamento de acesso à internet. Para obter mais informações sobre como controlar o acesso à internet à sua VPC, consulte este [exemplo de política de controle de serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_vpc.html).
# Como registrar logs e monitorar no AWS Global Accelerator
O monitoramento é uma parte importante para manter a disponibilidade e a performance do Global Accelerator e das suas soluções da AWS. Você deve coletar dados de monitoramento de todas as partes de sua solução da AWS para depurar uma falha de vários pontos com facilidade, caso ocorra. A AWS fornece várias ferramentas para monitorar seus recursos e suas atividades no Global Accelerator e responder a incidentes em potencial:
O Global Accelerator fornece as seguintes três vias principais para registrar logs e rastrear:
**Métricas e alarmes do Amazon CloudWatch**
Ao usar o CloudWatch, você monitora os recursos da AWS e as aplicações que você executa na AWS em tempo real. Assim que seu acelerador é implantado, o CloudWatch começa a coletar e rastrear métricas para o Global Accelerator. As métricas são variáveis que você pode visualizar para confirmar que o tráfego está fluindo ou que você pode medir ao longo do tempo.
Você pode usar métricas, por exemplo, para verificar se o tráfego está fluindo pelo Global Accelerator para seus endpoints e de volta para os clientes, além de ajudar a solucionar problemas. Você também pode criar alarmes que monitoram métricas específicas e, em seguida, enviar notificações ou fazer alterações automaticamente nos recursos que você está monitorando quando a métrica exceder um determinado limite por um período.
Para ter mais informações, consulte [Como usar Amazon CloudWatch com o AWS Global Accelerator](cloudwatch-monitoring.md).
**Logs de fluxo do Global Accelerator**
Os logs de fluxo do servidor são logs que você configura no Global Accelerator que fornecem registros detalhados sobre o tráfego que flui de um acelerador até um endpoint. Os logs de fluxo do servidor são úteis para muitos aplicativos, por exemplo, para auditorias de segurança e acesso. Para ter mais informações, consulte [Como configurar e usar logs de fluxo no AWS Global Accelerator](monitoring-global-accelerator.flow-logs.md).
**Logs do AWS CloudTrail**
O CloudTrail fornece um registro de ações executadas por um usuário, um perfil ou um serviço da AWS no Global Accelerator. O CloudTrail captura todas as chamadas de API para o Global Accelerator, como eventos, incluindo as chamadas do console do Global Accelerator e de chamadas de código para a API do Global Accelerator. Para ter mais informações, consulte [Como usar o AWS CloudTrail para registrar chamadas de API do AWS Global Accelerator](logging-using-cloudtrail.md).
# Validação de conformidade do AWS Global Accelerator
Para saber se um AWS service (Serviço da AWS) está no escopo de programas de conformidade específicos, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/) e selecione o programa de conformidade em que você está interessado. Para obter informações gerais, consulte [Programas de Conformidade da AWS](https://aws.amazon.com/compliance/programs/).
É possível fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte [Baixar relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Sua responsabilidade de conformidade ao usar o Serviços da AWS é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentos e leis aplicáveis. A AWS fornece os seguintes recursos para ajudar com a conformidade:
+ [Guias de início rápido de segurança e conformidade](https://aws.amazon.com/quickstart/?awsf.filter-tech-category=tech-category%23security-identity-compliance): estes guias de implantação discutem considerações sobre arquitetura e fornecem as etapas para a implantação de ambientes de linha de base focados em segurança e conformidade na AWS.
+ [Arquitetura para segurança e conformidade com HIPAA no Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html): esse whitepaper descreve como as empresas podem usar a AWS para criar aplicações adequadas aos padrões HIPAA.
**nota**
Nem todos os Serviços da AWS estão qualificados pela HIPAA. Para mais informações, consulte a [Referência dos serviços qualificados pela HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/).
+ [Recursos de Conformidade da AWS](https://aws.amazon.com/compliance/resources/): essa coleção de manuais e guias pode ser aplicada ao seu setor e local.
+ [Guias de conformidade do cliente da AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf): entenda o modelo de responsabilidade compartilhada sob a ótica da conformidade. Os guias resumem as práticas recomendadas para proteção de Serviços da AWS e mapeiam as diretrizes para controles de segurança em várias estruturas (incluindo o Instituto Nacional de Padrões e Tecnologia (NIST), o Conselho de Padrões de Segurança do Setor de Cartões de Pagamento (PCI) e a Organização Internacional de Padronização (ISO)).
+ [Avaliar recursos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) no *Guia do desenvolvedor do AWS Config*: o serviço AWS Config avalia como as configurações de recursos estão em conformidade com práticas internas, diretrizes do setor e regulamentos.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): este AWS service (Serviço da AWS) fornece uma visão abrangente do seu estado de segurança na AWS. O Security Hub usa controles de segurança para avaliar os recursos da AWS e verificar a conformidade com os padrões e as práticas recomendadas do setor de segurança. Para obter uma lista dos serviços e controles aceitos, consulte a [Referência de controles do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html).
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): este AWS service (Serviço da AWS) detecta possíveis ameaças às suas Contas da AWS, workloads, contêineres e dados ao monitorar o ambiente em busca de atividades suspeitas e maliciosas. O GuardDuty pode ajudar você a atender a diversos requisitos de conformidade, como o PCI DSS, com o cumprimento dos requisitos de detecção de intrusões requeridos por determinadas estruturas de conformidade.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html): esse AWS service (Serviço da AWS) ajuda a auditar continuamente seu uso da AWS para simplificar a forma como você gerencia os riscos e a conformidade com regulamentos e padrões do setor.
# Resiliência no AWS Global Accelerator
A infraestrutura global da AWS é criada com base em regiões da AWS e zonas de disponibilidade. As regiões da AWS As regiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, as quais são conectadas com baixa latência, alto throughput e redes altamente redundantes. Com as zonas de disponibilidade, você pode projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para mais informações sobre regiões e zonas de disponibilidade da AWS, consulte [Infraestrutura global da AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Além de ser compatível com a infraestrutura global da AWS, o Global Accelerator oferece os seguintes recursos que ajudam a oferecer compatibilidade com a resiliência de dados:
+ Semelhante a uma zona de disponibilidade na AWS, uma zona da rede é uma unidade isolada com seu próprio conjunto de infraestrutura física. Quando você cria um acelerador, o Global Accelerator fornece um conjunto de endereços IP estáticos: dois endereços IPv4 estáticos para um acelerador com um tipo de endereço IP IPv4 ou quatro endereços IP estáticos para um acelerador de pilha dupla (dois endereços IPv4 e dois endereços IPv6). O Global Accelerator fornece um endereço IP estático por zona da rede a partir de uma sub-rede IP exclusiva para cada família de endereços IP. Se um endereço de uma zona da rede ficar indisponível devido ao bloqueio de endereços IP por determinadas redes de clientes ou interrupções na rede, os aplicativos dos clientes poderão tentar novamente o endereço IP estático íntegro da outra zona da rede isolada.
+ O Global Accelerator monitora continuamente a integridade de todos os endpoints. Quando determina que um endpoint ativo não está íntegro, o Global Accelerator começa instantaneamente a direcionar o tráfego para outro endpoint disponível. Isso permite que você crie uma arquitetura de alta disponibilidade para seus aplicativos na AWS.
# Segurança da infraestrutura no AWS Global Accelerator
Por ser um serviço gerenciado, o AWS Global Accelerator é protegido pela segurança da rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte [Segurança na Nuvem AWS](https://aws.amazon.com/security/). Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte [Proteção de Infraestrutura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) em *Pilar de Segurança: AWS Well‐Architected Framework*.
Você usa chamadas de API publicadas pela AWS para acessar o Global Accelerator por meio da rede. Os clientes devem oferecer suporte para:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou você pode usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.