

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Identity and Access Management para Amazon Managed Grafana
<a name="security-iam"></a>





AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) para usar os recursos do Amazon Managed Grafana. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon Managed Grafana funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para o Amazon Managed Grafana](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para Amazon Managed Grafana](security-iam-awsmanpol.md)
+ [Solucionar problemas de identidade e acesso do Amazon Managed Grafana](security_iam_troubleshoot.md)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)
+ [Usar perfis vinculados ao serviço no Amazon Managed Grafana](using-service-linked-roles.md)

## Público
<a name="security_iam_audience"></a>

A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solucionar problemas de identidade e acesso do Amazon Managed Grafana](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Managed Grafana funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para o Amazon Managed Grafana](security_iam_id-based-policy-examples.md))

## Autenticação com identidades
<a name="security_iam_authentication"></a>

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.

Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.

### Conta da AWS usuário root
<a name="security_iam_authentication-rootuser"></a>

 Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*. 

### Identidade federada
<a name="security_iam_authentication-federated"></a>

Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.

Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.

Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

### Usuários e grupos do IAM
<a name="security_iam_authentication-iamuser"></a>

Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.

Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.

### Perfis do IAM
<a name="security_iam_authentication-iamrole"></a>

Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.

Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Gerenciar o acesso usando políticas
<a name="security_iam_access-manage"></a>

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.

Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.

### Políticas baseadas em identidade
<a name="security_iam_access-manage-id-based-policies"></a>

As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.

### Políticas baseadas em recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.

Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.

### Outros tipos de política
<a name="security_iam_access-manage-other-policies"></a>

AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.

### Vários tipos de política
<a name="security_iam_access-manage-multiple-policies"></a>

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.

# Como o Amazon Managed Grafana funciona com o IAM
<a name="security_iam_service-with-iam"></a>

Antes de usar o IAM para gerenciar o acesso ao Amazon Managed Grafana, saiba quais recursos do IAM estão disponíveis para uso com o Amazon Managed Grafana.






**Recursos do IAM que você pode usar com o Amazon Managed Grafana**  

| Recurso do IAM | Suporte do Amazon Managed Grafana | 
| --- | --- | 
|  [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies)  |   Sim  | 
|  [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies)  |   Não   | 
|  [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sim  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   Sim  | 
|  [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Não   | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Não   | 
|  [ABAC (tags em políticas)](#security_iam_service-with-iam-tags)  |   Sim  | 
|  [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds)  |   Sim  | 
|  [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sim  | 
|  [Perfis de serviço](#security_iam_service-with-iam-roles-service)  |   Sim  | 
|  [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked)  |   Sim  | 

Para ter uma visão de alto nível de como o Amazon Managed Grafana e AWS outros serviços funcionam com a maioria dos recursos do IAM, [AWS consulte os serviços que funcionam com o IAM no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) do usuário *do IAM*.

## Políticas baseadas em identidade do Amazon Managed Grafana
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatível com políticas baseadas em identidade:** sim

As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.

### Exemplos de políticas baseadas em identidade para o Amazon Managed Grafana
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Para visualizar exemplos de políticas do Amazon Managed Grafana baseadas em identidade, consulte [Exemplos de políticas baseadas em identidade para o Amazon Managed Grafana](security_iam_id-based-policy-examples.md).

## Políticas baseadas em recursos no Amazon Managed Grafana
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Compatibilidade com políticas baseadas em recursos:** não 

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS

Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Ações de políticas do Amazon Managed Grafana
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatível com ações de políticas:** sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.



Para ver uma lista de ações do Amazon Managed Grafana, consulte [Actions defined by Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html#amazonmanagedgrafana-actions-as-permissions) na *Referência de autorização do serviço*.

As ações de política no Amazon Managed Grafana usam o seguinte prefixo antes da ação:

```
grafana
```

Para especificar várias ações em uma única declaração, separe-as com vírgulas.

```
"Action": [
      "grafana:action1",
      "grafana:action2"
         ]
```





Para visualizar exemplos de políticas do Amazon Managed Grafana baseadas em identidade, consulte [Exemplos de políticas baseadas em identidade para o Amazon Managed Grafana](security_iam_id-based-policy-examples.md).

## Recursos de políticas do Amazon Managed Grafana
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Compatível com recursos de políticas:** sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.

```
"Resource": "*"
```

*Para ver uma lista dos tipos de recursos do Amazon Managed Grafana e seus ARNs, consulte [Recursos definidos pelo Amazon Managed Grafana na Referência de Autorização](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html#amazonmanagedgrafana-resources-for-iam-policies) de Serviço.* Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Actions defined by Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html#amazonmanagedgrafana-actions-as-permissions).





Para visualizar exemplos de políticas do Amazon Managed Grafana baseadas em identidade, consulte [Exemplos de políticas baseadas em identidade para o Amazon Managed Grafana](security_iam_id-based-policy-examples.md).

## Chaves de condição de política do Amazon Managed Grafana
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatível com chaves de condição de política específicas de serviço:** não 

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.

## Listas de controle de acesso (ACLs) na Amazon Managed Grafana
<a name="security_iam_service-with-iam-acls"></a>

**Suportes ACLs:** Não 

As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.

## Controle de acesso por atributo (ABAC) com o Amazon Managed Grafana
<a name="security_iam_service-with-iam-tags"></a>

**Compatível com ABAC (tags em políticas):** sim

O Amazon Managed Grafana é compatível com a marcação baseada em recursos e identidade.

Para obter mais informações sobre marcação de recursos do Amazon Managed Grafana, consulte [Marcar com tags espaços de trabalho do Amazon Managed Grafana](Tagging_workspaces.md).

Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [AWS políticas gerenciadas para Amazon Managed Grafana](security-iam-awsmanpol.md).

O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.

Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.

Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**

Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.

## Usar credenciais temporárias com o Amazon Managed Grafana
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatível com credenciais temporárias:** sim

As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.

## Sessões de acesso direto para o Amazon Managed Grafana
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim

 As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Perfis de serviço do Amazon Managed Grafana
<a name="security_iam_service-with-iam-roles-service"></a>

**Compatível com perfis de serviço:** sim

 O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*. 

**Atenção**  
A alteração das permissões de um perfil de serviço pode interromper a funcionalidade do Amazon Managed Grafana. Edite perfis de serviço somente quando o Amazon Managed Grafana fornecer orientação para tal.

## Perfis vinculados ao serviço do Amazon Managed Grafana
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Compatibilidade com perfis vinculados a serviços:** sim

 Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço. 

Para obter mais detalhes de como criar ou gerenciar perfis vinculados ao serviço do Amazon Managed Grafana, consulte [Usar perfis vinculados ao serviço no Amazon Managed Grafana](using-service-linked-roles.md).

# Exemplos de políticas baseadas em identidade para o Amazon Managed Grafana
<a name="security_iam_id-based-policy-examples"></a>

Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do Amazon Managed Grafana. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.

Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.

*Para obter detalhes sobre ações e tipos de recursos definidos pelo Amazon Managed Grafana, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição do Amazon Managed Grafana na Referência de Autorização](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html) de Serviço.*

**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usar o console Amazon Managed Grafana](#security_iam_id-based-policy-examples-console)
+ [Exemplos de políticas do Amazon Managed Grafana](#security_iam_AMG-id-based-policy-examples)

## Práticas recomendadas de política
<a name="security_iam_service-with-iam-policy-best-practices"></a>

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Managed Grafana na conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.

Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

## Usar o console Amazon Managed Grafana
<a name="security_iam_id-based-policy-examples-console"></a>

Para acessar o console do , você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos na Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política. 

## Exemplos de políticas do Amazon Managed Grafana
<a name="security_iam_AMG-id-based-policy-examples"></a>

Esta seção contém políticas baseadas em identidade que são úteis para vários cenários do Amazon Managed Grafana.

### Administrador do Grafana usando SAML
<a name="security_iam_id-based-policy-examples-SAML"></a>

Se você usa o SAML para a autenticação de usuário, o administrador que cria e gerencia o Amazon Managed Grafana precisa das seguintes políticas:
+ **AWSGrafanaAccountAdministrator**ou as permissões equivalentes para criar e gerenciar espaços de trabalho Amazon Managed Grafana.
+ A **AWSMarketplaceManageSubscriptions**política ou permissões equivalentes, se você quiser atualizar um espaço de trabalho do Amazon Managed Grafana para o Grafana Enterprise.

#### Administrador do Grafana em uma conta de gerenciamento usando o Centro de Identidade do IAM
<a name="security_iam_id-based-policy-examples-admin-org"></a>

Para conceder permissões para criar e gerenciar espaços de trabalho Amazon Managed Grafana em toda a organização e para habilitar dependências como o IAM Identity Center, atribua as **AWSGrafanaAccountAdministrator**políticas **AWSSSOMasterAccountAdministrator**e de **AWSSSODirectoryadministrador** a um usuário. Além disso, para atualizar um espaço de trabalho do Amazon Managed Grafana para o Grafana Enterprise, o usuário deve ter a política do **AWSMarketplaceManageSubscriptions**IAM ou as permissões equivalentes.

Se você quiser usar permissões gerenciadas por serviço ao criar um espaço de trabalho do Amazon Managed Grafana, o usuário que cria o espaço de trabalho também deverá ter as permissões `iam:CreateRole`, `iam:CreatePolicy` e `iam:AttachRolePolicy`. Eles devem ser usados CloudFormation StackSets para implantar políticas que permitam ler fontes de dados nas contas da organização.

**Importante**  
Conceder a um usuário as permissões `iam:CreateRole`, `iam:CreatePolicy` e `iam:AttachRolePolicy` concede a esse usuário acesso administrativo total à conta da AWS . Por exemplo, um usuário com essas permissões pode criar uma política com permissões totais para todos os recursos e anexar essa política a qualquer função. Seja muito cuidadoso a quem você concede essas permissões. 

Para ver as permissões concedidas a **AWSGrafanaAccountAdministrator**, consulte [AWS política gerenciada: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

#### Administrador do Grafana em uma conta de gerenciamento que usa o Centro de Identidade do IAM
<a name="security_iam_id-based-policy-examples-admin-member"></a>

Para conceder permissões para criar e gerenciar espaços de trabalho Amazon Managed Grafana na conta membro de uma organização, atribua as **AWSGrafanaAccountAdministrator**políticas **AWSSSOMemberAccountAdministrator**e de **AWSSSODirectoryadministrador** a um usuário. Além disso, para atualizar um espaço de trabalho do Amazon Managed Grafana para o Grafana Enterprise, o usuário deve ter a política do **AWSMarketplaceManageSubscriptions**IAM ou as permissões equivalentes.

Se você quiser usar permissões gerenciadas por serviço ao criar um espaço de trabalho do Amazon Managed Grafana, o usuário que cria o espaço de trabalho também deverá ter as permissões `iam:CreateRole`, `iam:CreatePolicy` e `iam:AttachRolePolicy`. Elas são necessários para permitir que o usuário leia as fontes de dados na conta.

**Importante**  
Conceder a um usuário as permissões `iam:CreateRole`, `iam:CreatePolicy` e `iam:AttachRolePolicy` concede a esse usuário acesso administrativo total à conta da AWS . Por exemplo, um usuário com essas permissões pode criar uma política com permissões totais para todos os recursos e anexar essa política a qualquer função. Seja muito cuidadoso a quem você concede essas permissões. 

Para ver as permissões concedidas a **AWSGrafanaAccountAdministrator**, consulte [AWS política gerenciada: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

#### Cria e gerenciar espaços de trabalho e usuários do Amazon Managed Grafana em uma única conta independente usando o Centro de Identidade do IAM
<a name="security_iam_id-based-policy-examples-create-workspace-standalone"></a>

Uma AWS conta independente é uma conta que ainda não é membro de uma organização. Para obter mais informações sobre organizações, consulte [O que é o AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 

Para conceder permissões para criar e gerenciar espaços de trabalho e usuários do Amazon Managed Grafana em uma conta independente, atribua as políticas **AWSGrafanaAccountAdministrator**AWSSSOMasterAccountAdministrator****, **AWSOrganizationsFullAccess**e de **AWSSSODirectoryadministrador** a um usuário. Além disso, para atualizar um espaço de trabalho do Amazon Managed Grafana para o Grafana Enterprise, o usuário deve ter a política do **AWSMarketplaceManageSubscriptions**IAM ou as permissões equivalentes.

**Importante**  
Conceder a um usuário as permissões `iam:CreateRole`, `iam:CreatePolicy` e `iam:AttachRolePolicy` concede a esse usuário acesso administrativo total à conta da AWS . Por exemplo, um usuário com essas permissões pode criar uma política com permissões totais para todos os recursos e anexar essa política a qualquer função. Seja muito cuidadoso a quem você concede essas permissões. 

Para ver as permissões concedidas a **AWSGrafanaAccountAdministrator**, consulte [AWS política gerenciada: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)

#### Atribuir e cancelar a atribuição de acesso de usuários ao Amazon Managed Grafana
<a name="security_iam_id-based-policy-examples-assign-users"></a>

**Para conceder permissões para gerenciar o acesso de outros usuários aos espaços de trabalho do Amazon Managed Grafana na conta, incluindo a concessão de permissões de administrador do Grafana a esses usuários para os espaços de trabalho, atribua a política V2 a esse usuário. AWSGrafana WorkspacePermissionManagement** Se você estiver usando o IAM Identity Center para gerenciar usuários nesse espaço de trabalho, o usuário também precisará do **AWSSSOReadOnly** e **AWSSSODirectoryReadOnly**das políticas.

Para ver as permissões concedidas à **AWSGrafanaWorkspacePermissionManagementV2**, consulte [AWS política gerenciada: AWSGrafana WorkspacePermissionManagement V2](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2)

#### Permissões somente leitura do Amazon Managed Grafana
<a name="security_iam_id-based-policy-examples-Grafana-readonly"></a>

**Para conceder permissões para ações de leitura, como listar e visualizar espaços de trabalho e abrir o console do espaço de trabalho Grafana, **AWSGrafanaConsoleReadOnlyAccess**atribua a função Somente **AWSSSODirectoryReadOnly**e políticas a AWSSSORead um usuário ou função do IAM.**

Para ver as permissões concedidas a **AWSGrafanaConsoleReadOnlyAccess**, consulte[AWS política gerenciada: AWSGrafana ConsoleReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess).







# AWS políticas gerenciadas para Amazon Managed Grafana
<a name="security-iam-awsmanpol"></a>

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.

## AWS política gerenciada: AWSGrafana AccountAdministrator
<a name="security-iam-awsmanpol-AWSGrafanaAccountAdministrator"></a>

AWSGrafanaAccountAdministrator A política fornece acesso ao Amazon Managed Grafana para criar e gerenciar contas e espaços de trabalho para toda a organização.

Você pode anexar AWSGrafana AccountAdministrator às suas entidades do IAM.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais listem e obtenham perfis do IAM para que o administrador possa associar um perfil a um espaço de trabalho, bem como passar perfis para o serviço do Amazon Managed Grafana. 
+ `Amazon Managed Grafana`— Permite que os diretores tenham acesso de leitura e gravação a todas as Amazon Managed Grafana APIs.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## AWS política gerenciada: AWSGrafana WorkspacePermissionManagement (obsoleta)
<a name="security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement"></a>

Esta política está obsoleta. Esta política não deve ser vinculada a novos usuários, grupos ou perfis.

O Amazon Managed Grafana adicionou uma nova política, a [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2), para substituir essa política. Essa nova política gerenciada melhora a segurança do espaço de trabalho ao fornecer um conjunto mais restritivo de permissões.

## AWS política gerenciada: AWSGrafana WorkspacePermissionManagement V2
<a name="security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2"></a>

AWSGrafanaWorkspacePermissionManagementA política V2 fornece somente a capacidade de atualizar as permissões de usuários e grupos para os espaços de trabalho Amazon Managed Grafana.

Você pode anexar a AWSGrafana WorkspacePermissionManagement V2 às suas entidades do IAM. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `Amazon Managed Grafana`: permite que as entidades principais leiam e atualizem as permissões de usuários e grupos dos espaços de trabalho do Amazon Managed Grafana.
+ `IAM Identity Center`: permite que as entidades principais leiam as entidades do Centro de Identidade do IAM. Esta é uma parte necessária da associação das entidades principais às aplicações do Amazon Managed Grafana, mas também requer uma etapa adicional, descrita após a listagem de políticas a seguir.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}
```

------

**Política adicional necessária**

Para permitir integralmente que um usuário atribua permissões, além da política `AWSGrafanaWorkspacePermissionManagementV2`, você também deve atribuir uma política para fornecer acesso à atribuição de aplicações no Centro de Identidade do IAM.

Para criar essa política, você deve primeiro coletar o **ARN da aplicação do Grafana** para o espaço de trabalho

1. Abra o [console do IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. No menu à esquerda, escolha **Aplicações**.

1. Na guia **Gerenciada pela AWS **, encontre a aplicação chamada **Amazon Grafana-*workspace-name***, em que `workspace-name` é o nome do espaço de trabalho. Selecione o nome da aplicação.

1. A aplicação do Centro de Identidade do IAM gerenciada pelo Amazon Managed Grafana para o espaço de trabalho é exibida. O ARN dessa aplicação é mostrado na página de detalhes. Estará no formulário: `arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id`.

A política que você criar deve ser semelhante ao exemplo a seguir. *grafana-application-arn*Substitua pelo ARN que você encontrou na etapa anterior:

Para obter informações sobre como criar e aplicar políticas aos perfis, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.

## AWS política gerenciada: AWSGrafana ConsoleReadOnlyAccess
<a name="security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess"></a>

AWSGrafanaConsoleReadOnlyAccess a política concede acesso a operações somente de leitura no Amazon Managed Grafana. 

Você pode anexar AWSGrafana ConsoleReadOnlyAccess às suas entidades do IAM. 

**Detalhes das permissões**

Esta política inclui a seguinte permissão.
+ `Amazon Managed Grafana`— Permite que os diretores tenham acesso somente para leitura ao Amazon Managed Grafana APIs

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}
```

------

## AWS política gerenciada: AmazonGrafanaRedshiftAccess
<a name="security-iam-awsmanpol-AmazonGrafanaRedshiftAccess"></a>

Essa política concede acesso definido ao Amazon Redshift e às dependências necessárias para usar o plug-in Amazon Redshift no Amazon Managed Grafana. AmazonGrafanaRedshiftAccess A política permite que um usuário ou uma função do IAM use o plug-in de fonte de dados do Amazon Redshift no Grafana. As credenciais temporárias dos bancos de dados do Amazon Redshift têm como escopo o usuário `redshift_data_api_user` do banco de dados, e as credenciais do Secrets Manager poderão ser recuperadas se o segredo estiver marcado com a chave `RedshiftQueryOwner`. Esta política permite o acesso aos clusters do Amazon Redshift marcados com `GrafanaDataSource`. Ao criar uma política gerenciada pelo cliente, a autenticação baseada em tags é opcional.

Você pode anexar AmazonGrafanaRedshiftAccess às suas entidades do IAM. O Amazon Managed Grafana também anexa esta política a um perfil de serviço que permite que o Amazon Managed Grafana execute ações em seu nome. 

**Detalhes das permissões**

Esta política inclui a seguinte permissão.
+ `Amazon Redshift`: permite que as entidades principais descrevam clusters e obtenham credenciais temporárias para um usuário de banco de dados chamado `redshift_data_api_user`.
+ `Amazon Redshift–data`: permite que as entidades principais executem consultas em clusters marcados como `GrafanaDataSource`.
+ `Secrets Manager`: permite que as entidades principais listem segredos e leiam valores secretos de segredos marcados como `RedshiftQueryOwner`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}
```

------

## AWS política gerenciada: AmazonGrafanaAthenaAccess
<a name="security-iam-awsmanpol-AmazonGrafanaAthenaAccess"></a>

Essa política concede acesso ao Athena e às dependências necessárias para permitir a consulta e gravação de resultados no Amazon S3 a partir do plug-in Athena no Amazon Managed Grafana. AmazonGrafanaAthenaAccessA política permite que um usuário ou uma função do IAM use o plug-in de fonte de dados Athena no Grafana. Os grupos de trabalho do Athena devem estar marcados com `GrafanaDataSource` para serem acessíveis. Esta política contém permissões para gravar resultados de consultas em um bucket do Amazon S3 com um nome prefixado com `grafana-athena-query-results-`. As permissões do Amazon S3 para acessar a fonte de dados subjacente de uma consulta do Athena não estão incluídas nesta política. 

Você pode anexar AWSGrafana AthenaAccess políticas às suas entidades do IAM. O Amazon Managed Grafana também anexa esta política a um perfil de serviço que permite que o Amazon Managed Grafana execute ações em seu nome. 

**Detalhes das permissões**

Esta política inclui a seguinte permissão.
+ `Athena`: permite que as entidades principais executem consultas em recursos do Athena em grupos de trabalho marcados como `GrafanaDataSource`.
+ `Amazon S3`: permite que as entidades principais leiam e gravem os resultados da consulta em um bucket prefixado com `grafana-athena-query-results-`.
+ `AWS Glue`— Permite que os diretores acessem bancos de dados, tabelas e partições do AWS Glue. Isso é necessário para que a entidade principal possa usar o Catálogo de Dados do AWS Glue com o Athena.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}
```

------

## AWS política gerenciada: AmazonGrafanaCloudWatchAccess
<a name="security-iam-awsmanpol-AmazonGrafanaCloudWatchAccess"></a>

Essa política concede acesso à Amazon CloudWatch e às dependências necessárias para uso CloudWatch como fonte de dados no Amazon Managed Grafana.

Você pode anexar AWSGrafana CloudWatchAccess políticas às suas entidades do IAM. O Amazon Managed Grafana também anexa esta política a um perfil de serviço que permite que o Amazon Managed Grafana execute ações em seu nome. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `CloudWatch`— Permite que os diretores listem e obtenham dados métricos e registros da Amazon CloudWatch. Também permite visualizar dados compartilhados das contas de origem na CloudWatch observabilidade entre contas.
+ `Amazon EC2`: permite que as entidades principais obtenham detalhes sobre os recursos que estão sendo monitorados.
+ `Tags`— Permite que os diretores acessem tags nos recursos, para permitir a filtragem das consultas CloudWatch métricas.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Atualizações do Amazon Managed Grafana para AWS políticas gerenciadas
<a name="iam-awsmanpol-updates"></a>

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Managed Grafana desde que esse serviço começou a rastrear essas alterações. Para alertas automáticos sobre mudanças nesta página, assine o RSS feed na página de [histórico de documentos do Amazon Managed Grafana](doc-history.md).


| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement)— obsoleto  |  Esta política foi substituída por **AWSGrafanaWorkspacePermissionManagementV2**. Esta política está obsoleta e não será mais atualizada. A nova política melhora a segurança do espaço de trabalho ao fornecer um conjunto mais restritivo de permissões.  | 5 de janeiro de 2024 | 
|  [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2) — Nova política  |  O Amazon Managed Grafana adicionou uma nova política **AWSGrafanaWorkspacePermissionManagementV2** para substituir a política **AWSGrafanaWorkspacePermissionManagement** obsoleta. Essa nova política gerenciada melhora a segurança do espaço de trabalho ao fornecer um conjunto mais restritivo de permissões.  | 5 de janeiro de 2024 | 
|  [AmazonGrafanaCloudWatchAccess](#security-iam-awsmanpol-AmazonGrafanaCloudWatchAccess) – Nova política  |  O Amazon Managed Grafana adicionou uma nova política **AmazonGrafanaCloudWatchAccess**.  | 24 de março de 2023 | 
|  [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – atualização para uma política existente  |  O Amazon Managed Grafana adicionou novas permissões para **AWSGrafanaWorkspacePermissionManagement** a fim de que usuários e grupos do Centro de Identidade do IAM no Active Directory possam ser associados aos espaços de trabalho do Grafana. As seguintes permissões foram adicionadas: `sso-directory:DescribeUser` e `sso-directory:DescribeGroup`  | 14 de março de 2023 | 
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – atualização para uma política existente |  O Amazon Managed Grafana adicionou novas permissões para **AWSGrafanaWorkspacePermissionManagement** a fim de que usuários e grupos do Centro de Identidade do IAM possam ser associados aos espaços de trabalho do Grafana. As seguintes permissões foram adicionadas: `sso:DescribeRegisteredRegions`, `sso:GetSharedSsoConfiguration`, `sso:ListDirectoryAssociations`, `sso:GetManagedApplicationInstance`, `sso:ListProfiles`, `sso:AssociateProfile`, `sso:DisassociateProfile`, `sso:GetProfile` e `sso:ListProfileAssociations`.  | 20 de dezembro de 2022 | 
|  [AmazonGrafanaServiceLinkedRolePolicy](using-service-linked-roles.md)— Nova política de SLR  |  O Amazon Managed Grafana adicionou uma nova política para o perfil vinculado ao serviço do Grafana, **AmazonGrafanaServiceLinkedRolePolicy**.  | 18 de novembro de 2022  | 
|  [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator), [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess)  | Permitir acesso a todos os recursos do Amazon Managed Grafana | 17 de fevereiro de 2022 | 
|  [AmazonGrafanaRedshiftAccess](#security-iam-awsmanpol-AmazonGrafanaRedshiftAccess) – Nova política  |  O Amazon Managed Grafana adicionou uma nova política **AmazonGrafanaRedshiftAccess**.  | 26 de novembro de 2021  | 
|  [AmazonGrafanaAthenaAccess](#security-iam-awsmanpol-AmazonGrafanaAthenaAccess) – Nova política  |  O Amazon Managed Grafana adicionou uma nova política **AmazonGrafanaAthenaAccess**.  | 22 de novembro de 2021  | 
|  [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) – atualização para uma política existente  |  O Amazon Managed Grafana removeu as permissões de **AWSGrafanaAccountAdministrator**. A `iam:CreateServiceLinkedRole` permissão do escopo do `sso.amazonaws.com` serviço foi removida e, em vez disso, recomendamos que você anexe a **AWSSSOMasterAccountAdministrator**política para conceder essa permissão a um usuário.   | 13 de outubro de 2021 | 
|  [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – atualização para uma política existente  |  O Amazon Managed Grafana adicionou novas permissões para **AWSGrafanaWorkspacePermissionManagement** a fim de que os usuários com essa política possam ver os métodos de autenticação associados aos espaços de trabalho. A permissão `grafana:DescribeWorkspaceAuthentication` foi adicionada.   | 21 de setembro de 2021 | 
|  [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) – atualização para uma política existente  |  O Amazon Managed Grafana adicionou novas permissões para **AWSGrafanaConsoleReadOnlyAccess** a fim de que os usuários com essa política possam ver os métodos de autenticação associados aos espaços de trabalho. As permissões `grafana:Describe*` e `grafana:List*` foram adicionadas à política e substituem as permissões anteriores mais restritas `grafana:DescribeWorkspace`, `grafana:ListPermissions` e `grafana:ListWorkspaces`.  | 21 de setembro de 2021 | 
|  O Amazon Managed Grafana começou a monitorar as alterações  |  O Amazon Managed Grafana começou a monitorar as mudanças em suas políticas AWS gerenciadas.  | 9 de setembro de 2021 | 

# Solucionar problemas de identidade e acesso do Amazon Managed Grafana
<a name="security_iam_troubleshoot"></a>

Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Amazon Managed Grafana e o IAM.

**Topics**
+ [Não tenho autorização para executar uma ação no Amazon Managed Grafana](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Managed Grafana](#security_iam_troubleshoot-cross-account-access)

## Não tenho autorização para executar uma ação no Amazon Managed Grafana
<a name="security_iam_troubleshoot-no-permissions"></a>

Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.

O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `grafana:GetWidget` fictícias.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: grafana:GetWidget on resource: my-example-widget
```

Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `grafana:GetWidget`.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

## Não estou autorizado a realizar iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se receber uma mensagem de erro informando que você não tem autorização para executar a ação `iam:PassRole`, atualize suas políticas para permitir a transmissão de um perfil para o Amazon Managed Grafana.

Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.

O exemplo de erro a seguir ocorre quando um usuário do IAM denominado `marymajor` tenta usar o console para executar uma ação no Amazon Managed Grafana. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

## Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Managed Grafana
<a name="security_iam_troubleshoot-cross-account-access"></a>

É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte:
+ Para saber se o Amazon Managed Grafana é compatível com esses recursos, consulte [Como o Amazon Managed Grafana funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

# Prevenção contra o ataque do “substituto confuso” em todos os serviços
<a name="cross-service-confused-deputy-prevention"></a>

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta. 

Recomendamos o uso das chaves globais de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) em políticas de recursos para limitar as permissões que o Amazon Managed Grafana concede ao recurso para outro serviço. Se o valor de `aws:SourceArn` não contém ID da conta, como um ARN do bucket do Amazon S3, você deve usar ambas as chaves de contexto de condição global para limitar as permissões. Se você usa ambas as chaves de contexto de condição global, e o valor `aws:SourceArn` contém o ID da conta, o valor `aws:SourceAccount` e a conta no valor `aws:SourceArn` deverão utilizar a mesma ID de conta quando na mesma declaração de política. Use `aws:SourceArn` se quiser apenas um recurso associado a acessibilidade de serviço. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.

O valor de `aws:SourceArn` deve ser o ARN do espaço de trabalho do Amazon Managed Grafana.

A maneira mais eficaz de se proteger do problema ‘confused deputy’ é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:grafana:*:123456789012:*` 

O exemplo a seguir mostra como você pode usar as chaves globais de contexto de condição `aws:SourceArn` e `aws:SourceAccount` nas políticas de confiança do perfil do IAM no espaço de trabalho do Amazon Managed Grafana para evitar o problema de confused deputy.

------
#### [ JSON ]

****  

```
 {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "grafana.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId",
          "aws:SourceArn": "arn:aws:grafana:region:accountId:/workspaces/workspaceId"
        }
      }
    }
  ]
}
```

------

# Usar perfis vinculados ao serviço no Amazon Managed Grafana
<a name="using-service-linked-roles"></a>

O Amazon Managed Grafana usa funções vinculadas a [serviços AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Managed Grafana. As funções vinculadas ao serviço são predefinidas pelo Amazon Managed Grafana e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. 

Um perfil vinculado ao serviço facilita a configuração do Amazon Managed Grafana porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Managed Grafana define as permissões dos perfis vinculados ao serviço e, exceto se definido de outra forma, somente o Amazon Managed Grafana pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege os recursos do Amazon Managed Grafana, pois você não pode remover acidentalmente as permissões para acessar os recursos.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.

## Permissões do perfil vinculado ao serviço para o Amazon Managed Grafana.
<a name="slr-permissions"></a>

O Amazon Managed Grafana usa a função vinculada ao serviço chamada — **AmazonManagedGrafana**Amazon Managed Grafana usa essa função para criar e configurar recursos, como segredos do Secrets ENIs Manager, em contas de clientes. A função AmazonManagedGrafana vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `grafana.amazonaws.com`

A função AmazonManagedGrafana vinculada ao serviço é anexada à `AmazonGrafanaServiceLinkedRolePolicy` política. Para obter atualizações dessa política, consulte [Atualizações do Amazon Managed Grafana para AWS políticas gerenciadas](security-iam-awsmanpol.md#iam-awsmanpol-updates).

A política de permissões do perfil permite que o Amazon Managed Grafana conclua as ações a seguir nos recursos especificados.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterface",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "AmazonGrafanaManaged"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "Null": {
                    "aws:RequestTag/AmazonGrafanaManaged": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteNetworkInterface",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "ec2:ResourceTag/AmazonGrafanaManaged": "false"
                }
            }
        }
    ]
}
```

------

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar um perfil vinculado ao serviço no Amazon Managed Grafana
<a name="create-slr"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você liga CreateWorkspace com uma API VpcConfiguration na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o Amazon Managed Grafana cria a função vinculada ao serviço para você. 

**Importante**  
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o serviço Amazon Managed Grafana antes de 30 de novembro de 2022, quando ele começou a oferecer suporte a funções vinculadas a serviços, o Amazon Managed Grafana criou a função em sua conta. AmazonManagedGrafana Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você liga CreateWorkspace com um VpcConfiguration, o Amazon Managed Grafana cria novamente a função vinculada ao serviço para você. 

Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso do **Grafana**. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do `grafana.amazonaws.com` serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

## Editar um perfil vinculado ao serviço do Amazon Managed Grafana
<a name="edit-slr"></a>

O Amazon Managed Grafana não permite que você edite a função vinculada ao AmazonManagedGrafana serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir um perfil vinculado ao serviço do Amazon Managed Grafana
<a name="delete-slr"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

**nota**  
Se o serviço do Amazon Managed Grafana estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir os recursos do Amazon Managed Grafana usados pelo AmazonManagedGrafana**

1. Navegue até a visualização **Todos os espaços de trabalho** `Region` no seu AWS console.

1. Exclua todos os espaços de trabalho na `Region`. Você precisa marcar o botão de rádio de cada espaço de trabalho e escolher o botão de **excluir** no lado superior direito da visualização **Todos os espaços de trabalho**. Repita o processo de exclusão para cada espaço de trabalho até que todos tenham sido excluídos da `Region`. Para obter mais informações sobre a exclusão de um espaço de trabalho no Amazon Managed Grafana, consulte o tópico [Excluir um espaço de trabalho](https://docs.aws.amazon.com/grafana/latest/userguide/AMG-edit-delete-workspace.html) neste guia do usuário.

**nota**  
Repita o procedimento para cada área Região da AWS em que você tenha áreas de trabalho. Você deve excluir todos espaços de trabalho *em todas as regiões* para poder excluir o perfil vinculado ao serviço.

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AmazonManagedGrafana vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões compatíveis com perfis do Amazon Managed Grafana vinculados ao serviço
<a name="slr-regions"></a>

O Amazon Managed Grafana é compatível com o uso de perfis vinculados ao serviço em todas as regiões em que o serviço esteja disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/grafana-service.html).