As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como AWS IoT SiteWise funciona com o IAM
Antes de usar o AWS Identity and Access Management (IAM) para gerenciar o acesso AWS IoT SiteWise, você deve entender quais recursos do IAM estão disponíveis para uso AWS IoT SiteWise.
| Recurso do IAM | Apoiado por AWS IoT SiteWise? |
| --- | --- |
| [Políticas baseadas em identidade com permissões em nível de recurso](security_iam_service-with-iam-id-based-policies.md) | Sim |
| [Ações de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources) | Sim |
| [Chaves de condição de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| Políticas baseadas em recurso | Não |
| Listas de controle de acesso (ACLs) | Não |
| [Autorização baseada em etiquetas (ABAC)](security_iam_service-with-iam-tags.md) | Sim |
| [Credenciais temporárias](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis vinculados a serviço](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Sim |
| [Perfis de serviço](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Sim |
Para ter uma visão de alto nível de como AWS IoT SiteWise e outros AWS serviços funcionam com o IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Contents**
+ [AWS IoT SiteWise Funções do IAM](security_iam_service-with-iam-roles.md)
+ [Use credenciais temporárias com AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)
+ [Sessões de acesso direto (FAS) para AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)
+ [Perfis vinculados ao serviço](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)
+ [Perfis de serviço](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service)
+ [Escolha uma função do IAM em AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-choose)
+ [Autorização baseada em AWS IoT SiteWise tags](security_iam_service-with-iam-tags.md)
+ [AWS IoT SiteWise políticas baseadas em identidade](security_iam_service-with-iam-id-based-policies.md)
+ [Ações de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)
+ [BatchPutAssetPropertyValue autorização](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action)
+ [Recursos de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)
+ [Chaves de condição de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemplos](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-examples)
+ [AWS IoT SiteWise exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [Práticas recomendadas de política](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)
+ [Use o AWS IoT SiteWise console](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permitir que os usuários façam a ingestão de dados para ativos em uma hierarquia](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Visualize AWS IoT SiteWise ativos com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)
+ [Gerencie o acesso usando políticas em AWS IoT SiteWise](security_iam_access-manage.md)
+ [Políticas baseadas em identidade](security_iam_access-manage.md#security_iam_access-manage-id-based-policies)
+ [Políticas baseadas em recursos](security_iam_access-manage.md#security_iam_access-manage-resource-based-policies)
+ [Listas de controle de acesso (ACLs)](security_iam_access-manage.md#security_iam_access-manage-acl)
+ [Outros tipos de política](security_iam_access-manage.md#security_iam_access-manage-other-policies)
+ [Vários tipos de política](security_iam_access-manage.md#security_iam_access-manage-multiple-policies)
# AWS IoT SiteWise Funções do IAM
[Perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua conta da AWS que tem permissões específicas.
## Use credenciais temporárias com AWS IoT SiteWise
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Obtenha credenciais de segurança temporárias chamando operações de API AWS STS tais como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS IoT SiteWise suporta o uso de credenciais temporárias.
SiteWise O Monitor oferece suporte a usuários federados para acessar portais. Os usuários do portal são autenticados com suas credenciais do IAM Identity Center ou do IAM.
**Importante**
Usuários ou perfis devem ter a permissão de `iotsitewise:DescribePortal` para entrar no portal.
Quando um usuário entra em um portal, o SiteWise Monitor gera uma política de sessão que fornece as seguintes permissões:
+ Acesso somente para leitura aos ativos e dados do ativo AWS IoT SiteWise em sua conta à qual a função desse portal fornece acesso.
+ Acesso a projetos nesse portal aos quais o usuário tem acesso de administrador (proprietário do projeto) ou somente leitura (visualizador do projeto).
Para obter mais informações sobre permissões de usuário federado do portal, consulte [Use funções de serviço para AWS IoT SiteWise Monitor](monitor-service-role.md).
## Sessões de acesso direto (FAS) para AWS IoT SiteWise
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) permitem que os AWS serviços acessem recursos em outros serviços para concluir uma ação em seu nome. As funções vinculadas ao serviço aparecem na sua AWS conta e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
AWS IoT SiteWise oferece suporte a funções vinculadas a serviços. Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviço do AWS IoT SiteWise , consulte [Use funções vinculadas ao serviço para AWS IoT SiteWise](using-service-linked-roles.md).
## Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções de serviço aparecem na sua AWS conta e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
AWS IoT SiteWise usa uma função de serviço para permitir que os usuários do portal SiteWise Monitor acessem alguns de seus AWS IoT SiteWise recursos em seu nome. Para obter mais informações, consulte [Use funções de serviço para AWS IoT SiteWise Monitor](monitor-service-role.md).
Você deve ter as permissões necessárias antes de poder criar modelos de AWS IoT Events alarme no AWS IoT SiteWise. Para obter mais informações, consulte [Configure permissões para alarmes de eventos em AWS IoT SiteWise](alarms-iam-permissions.md).
## Escolha uma função do IAM em AWS IoT SiteWise
Ao criar um `portal` recurso no AWS IoT SiteWise, você deve escolher uma função para permitir que os usuários federados do seu portal SiteWise Monitor AWS IoT SiteWise acessem em seu nome. Se você já criou uma função de serviço, AWS IoT SiteWise fornece uma lista de funções para escolher. Caso contrário, crie uma função com as permissões necessárias ao criar um portal. É importante escolher uma função que permita o acesso aos seus ativos e dados de ativos. Para obter mais informações, consulte [Use funções de serviço para AWS IoT SiteWise Monitor](monitor-service-role.md).
# Autorização baseada em AWS IoT SiteWise tags
Você pode anexar tags a AWS IoT SiteWise recursos ou passar tags em uma solicitação para AWS IoT SiteWise. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`. Para obter mais informações sobre recursos de marcação do AWS IoT SiteWise , consulte [Marque seus AWS IoT SiteWise recursos](tag-resources.md).
Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Visualize AWS IoT SiteWise ativos com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags).
# AWS IoT SiteWise políticas baseadas em identidade
As políticas do IAM permitem que você controle quem pode fazer o quê no AWS IoT SiteWise. Você pode decidir quais ações são permitidas ou não e definir condições específicas para essas ações. Por exemplo, você pode criar regras sobre quem pode ver ou alterar as informações AWS IoT SiteWise. AWS IoT SiteWise oferece suporte a ações, recursos e chaves de condição específicos. Para saber mais sobre todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
## Ações de políticas
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações políticas AWS IoT SiteWise usam o seguinte prefixo antes da ação:`iotsitewise:`. Por exemplo, para conceder permissão a alguém para fazer upload de dados de propriedades de ativos AWS IoT SiteWise com a operação da `BatchPutAssetPropertyValue` API, você inclui a `iotsitewise:BatchPutAssetPropertyValue` ação na política dessa pessoa. As declarações de política devem incluir um `NotAction` elemento `Action` ou. AWS IoT SiteWise define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme a seguir.
```
"Action": [
"iotsitewise:action1",
"iotsitewise:action2"
]
```
Você também pode especificar várias ações utilizando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a ação a seguir:
```
"Action": "iotsitewise:Describe*"
```
Para ver uma lista de AWS IoT SiteWise ações, consulte [Ações definidas AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) no *Guia do usuário do IAM*.
### BatchPutAssetPropertyValue autorização
AWS IoT SiteWise autoriza o acesso à [BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html)ação de uma forma incomum. Para a maioria das ações, quando você permite ou nega acesso a uma ação, esta ação retornará um erro se as permissões não tiverem sido concedidas. Com `BatchPutAssetPropertyValue`, você pode enviar várias entradas de dados para diferentes ativos e propriedades de ativo em uma única solicitação de API. O AWS IoT SiteWise autoriza cada entrada de dados de maneira independente. Para qualquer entrada individual que falhe na autorização na solicitação, AWS IoT SiteWise inclua um `AccessDeniedException` na lista de erros retornada. AWS IoT SiteWise recebe os dados de qualquer entrada autorizada e bem-sucedida, mesmo que outra entrada na mesma solicitação falhe.
**Importante**
Antes de ingerir dados em um fluxo de dados, faça o seguinte:
Autorize o recurso `time-series` se você usar um alias de propriedade para identificar o fluxo de dados.
Autorize o recurso `asset` se você usar um ID de ativo para identificar o ativo que contém a propriedade de ativo associada.
## Recursos de políticas
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Cada declaração de política do IAM se aplica aos recursos que você especifica usando seus ARNs. Um ARN tem a seguinte sintaxe geral.
```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```
Para obter mais informações sobre o formato de ARNs, consulte [Identificar AWS recursos com nomes de recursos da Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Por exemplo, para especificar ativo com o ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` em sua instrução, use o seguinte ARN.
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```
Para especificar todos os fluxos de dados que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```
Para especificar todos os ativos que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```
Algumas AWS IoT SiteWise ações, como as de criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver uma lista dos tipos de AWS IoT SiteWise recursos e seus ARNs, consulte [Tipos de recursos definidos AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies) no *Guia do usuário do IAM*. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte [Ações definidas pelo AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Chaves de condição de políticas
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
**Importante**
Muitas chaves de condição são específicas a um recurso, e algumas ações da API usam vários recursos. Se você gravar uma declaração de política com uma chave de condição, use o elemento `Resource` da declaração para especificar o recurso ao qual a chave de condição se aplica. Caso contrário, a política pode impedir que os usuários executem a ação, porque a verificação da condição falhará para os recursos aos quais a chave de condição não se aplica. Se você não quiser especificar um recurso, ou se escreveu o elemento `Action` da política para incluir várias ações da API, use o tipo de condição `...IfExists` para garantir que a chave de condição seja ignorada pelos recursos que não a usam. Para obter mais informações, consulte[... IfExists ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists)condições no *Guia do usuário do IAM*.
AWS IoT SiteWise define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
**AWS IoT SiteWise chaves de condição**
| Chave de condição | Description | Tipos |
| --- | --- | --- |
| iotsitewise:isAssociatedWithAssetProperty | Se os fluxos de dados estão associados a uma propriedade do ativo. Use essa chave de condição para definir permissões com base na existência de uma propriedade do ativo associada ao fluxo de dados. Valor de exemplo: `true` | String |
| iotsitewise:assetHierarchyPath | O caminho da hierarquia do ativo, que é uma sequência de ativos, IDs cada um separado por uma barra. Use essa chave de condição para definir permissões com base em um subconjunto da hierarquia de todos os ativos em sua conta. Valor de exemplo: `/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:propertyId | O ID de uma propriedade de ativo. Use essa chave de condição para definir permissões com base em uma propriedade especificada de um modelo de ativo. Esta chave de condição aplica-se a todos os ativos desse modelo. Valor de exemplo: `a1b2c3d4-5678-90ab-cdef-33333EXAMPLE` | String |
| iotsitewise:childAssetId | ID de um ativo que está sendo associado como filho a outro ativo. Use essa chave de condição para definir permissões com base em ativos filhos. Para definir permissões com base em ativos pai, use a seção de recurso de uma declaração de política. Valor de exemplo: `a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:iam | O ARN de uma identidade do IAM ao listar políticas de acesso. Utilize essa chave de condição para definir permissões de política de acesso para uma identidade do IAM. Valor de exemplo: `arn:aws:iam::123456789012:user/JohnDoe` | Sequência, nula |
| iotsitewise:propertyAlias | O alias que identifica uma propriedade do ativo ou fluxo de dados. Use essa chave de condição para definir permissões com base no alias. | String |
| iotsitewise:user | O ID de um usuário do IAM Identity Center ao listar políticas de acesso. Utilize essa chave de condição para definir permissões de política de acesso para um usuário do IAM Identity Center. Valor de exemplo: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE` | Sequência, nula |
| iotsitewise:group | O ID de um grupo do IAM Identity Center ao listar políticas de acesso. Utilize essa chave de condição para definir permissões de política de acesso para um grupo do IAM Identity Center. Valor de exemplo: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE` | Sequência, nula |
| iotsitewise:portal | O ID de um portal em uma política de acesso. Use essa chave de condição para definir permissões de política de acesso com base em um portal. Valor de exemplo: `a1b2c3d4-5678-90ab-cdef-77777EXAMPLE` | Sequência, nula |
| iotsitewise:project | O ID de um projeto em uma política de acesso ou o ID de um projeto de um painel. Use essa chave de condição para definir permissões de painel ou política de acesso com base em um projeto. Valor de exemplo: `a1b2c3d4-5678-90ab-cdef-88888EXAMPLE` | Sequência, nula |
Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas por AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Exemplos
Para ver exemplos de políticas AWS IoT SiteWise baseadas em identidade, consulte. [AWS IoT SiteWise exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
# AWS IoT SiteWise exemplos de políticas baseadas em identidade
Por padrão, as entidades (usuários e perfis) não têm permissão para criar ou modificar recursos do AWS IoT SiteWise . Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS, AWS Command Line Interface (AWS CLI) ou. Para ajustar as permissões, um administrador AWS Identity and Access Management (IAM) deve fazer o seguinte:
1. Criar políticas do IAM que concedam aos usuários e perfis permissão para realizar operações de API específicas nos recursos necessários.
1. Anexar essas políticas aos usuários ou grupos que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM utilizando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Use o AWS IoT SiteWise console](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permitir que os usuários façam a ingestão de dados para ativos em uma hierarquia](#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Visualize AWS IoT SiteWise ativos com base em tags](#security_iam_id-based-policy-examples-view-asset-tags)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS IoT SiteWise recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Use o AWS IoT SiteWise console
Para acessar o AWS IoT SiteWise console, você precisa de um conjunto básico de permissões. Essas permissões permitem que você veja e gerencie detalhes sobre os AWS IoT SiteWise recursos em sua AWS conta.
Se você criar uma política muito restritiva, o console poderá não funcionar conforme o esperado para usuários ou perfis (entidades) com essa política. Para garantir que essas entidades ainda possam usar o AWS IoT SiteWise console, anexe a política [AWSIoTSiteWiseConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/policies/arn:aws:iam::aws:policy/AWSIoTSiteWiseConsoleFullAccess)gerenciada a elas ou defina permissões equivalentes para essas entidades. Para saber mais, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Se as entidades estiverem usando apenas a AWS Command Line Interface (CLI) ou a AWS IoT SiteWise API, e não o console, elas não precisarão dessas permissões mínimas. Nesse caso, basta conceder a elas acesso às ações específicas de que precisam para as tarefas de API.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Permitir que os usuários façam a ingestão de dados para ativos em uma hierarquia
Neste exemplo, você deseja conceder a um usuário da sua AWS conta acesso para gravar dados em todas as propriedades do ativo em uma hierarquia específica de ativos, começando pelo ativo `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` raiz. A política concede a permissão `iotsitewise:BatchPutAssetPropertyValue` ao usuário. Essa política usa a chave de condição `iotsitewise:assetHierarchyPath` para restringir o acesso a ativos cujo caminho de hierarquia corresponde ao ativo ou a seus descendentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutAssetPropertyValuesForHierarchy",
"Effect": "Allow",
"Action": "iotsitewise:BatchPutAssetPropertyValue",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringLike": {
"iotsitewise:assetHierarchyPath": [
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
]
}
}
}
]
}
```
------
## Visualize AWS IoT SiteWise ativos com base em tags
Use condições em sua política baseada em identidade para controlar o acesso a AWS IoT SiteWise recursos com base em tags. Este exemplo mostra como criar uma política que permita a visualização de ativos. No entanto, a permissão será concedida somente se a tag do ativo do `Owner` tiver o valor do nome de usuário desse usuário. Essa política também concede permissão para concluir essa ação no console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAllAssets",
"Effect": "Allow",
"Action": [
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets"
],
"Resource": "*"
},
{
"Sid": "DescribeAssetIfOwner",
"Effect": "Allow",
"Action": "iotsitewise:DescribeAsset",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Você pode anexar essa política aos usuários na conta. Se um usuário chamado `richard-roe` tentar visualizar um AWS IoT SiteWise ativo, o ativo deverá ser marcado com `Owner=richard-roe` ou`owner=richard-roe`. Do contrário, Richard terá o acesso negado. Os nomes de chave de etiqueta da condição não diferenciam maiúsculas de minúsculas. Assim, `Owner` corresponde a `Owner` e `owner`. Para obter mais informações, consulte [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos da política JSON do IAM: Condição) no *Guia do usuário do IAM*.
# Gerencie o acesso usando políticas em AWS IoT SiteWise
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
## Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
## Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
## Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
## Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
## Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.