As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Identity and Access Management (IAM) \| Criar entidade ou política Read-Write (Permissões) Crie uma função ou política de Identity and Access Management (IAM) com permissões de leitura e gravação. Você deve ter habilitado esse recurso com o tipo de alteração ct-1706xvvk6j9hf antes de enviar essa solicitação. O provisionamento automatizado de IAM com permissões de leitura e gravação executa mais de 200 validações para ajudar a garantir resultados bem-sucedidos. **Classificação completa:** Implantação \| Componentes avançados de pilha \| Identity and Access Management (IAM) \| Criar entidade ou política (permissões de leitura e gravação) ## Detalhes do tipo de alteração **** | | | | --- |--- | | ID do tipo de alteração | ct-1n9gfnog5x7fl | | Versão atual | 1,0 | | Duração esperada da execução | 60 minutos | | Aprovação da AWS | Obrigatório | | Aprovação do cliente | Não é necessário se o remetente | | Modo de execução | Automatizado | ## Informações adicionais ### Crie uma entidade ou política do IAM #### Criação de uma entidade ou política do IAM com o console ![IAM interface de criação de função ou política com detalhes de ID, modo de execução e descrição.](http://docs.aws.amazon.com/pt_br/managedservices/latest/ctref/images/guiIamEntityCreateCT.png) Como funciona: 1. **Navegue até a página **Criar RFC**: No painel de navegação esquerdo do console AMS, clique em **RFCs para abrir a página de lista de RFCs** e, em seguida, clique em Criar RFC.** 1. Escolha um tipo de alteração popular (CT) na visualização padrão **Procurar tipos de alteração** ou selecione uma CT na visualização **Escolher por categoria**. + **Navegar por tipo de alteração**: você pode clicar em um CT popular na área de **criação rápida** para abrir imediatamente a página **Executar RFC**. Observe que você não pode escolher uma versão mais antiga do CT com a criação rápida. Para classificar CTs, use a área **Todos os tipos de alteração** na visualização em **Cartão** ou **Tabela**. Em qualquer exibição, selecione uma CT e clique em **Criar RFC** para abrir a página **Executar RFC**. Se aplicável, a opção **Criar com uma versão mais antiga** aparece ao lado do botão **Criar RFC**. + **Escolha por categoria**: selecione uma categoria, subcategoria, item e operação e a caixa de detalhes do CT será aberta com a opção **Criar com uma versão mais antiga**, se aplicável. Clique em **Criar RFC** para abrir a página **Executar RFC**. 1. Na página **Executar RFC**, abra a área do nome do CT para ver a caixa de detalhes do CT. É necessário um **Assunto** (preenchido se você escolher seu CT na visualização **Procurar tipos de alteração**). Abra a área **Configuração adicional** para adicionar informações sobre o RFC. Na área **Configuração de execução**, use as listas suspensas disponíveis ou insira valores para os parâmetros necessários. Para configurar parâmetros de execução opcionais, abra a área **Configuração adicional**. 1. Ao terminar, clique em **Executar**. Se não houver erros, a página **RFC criada com sucesso** será exibida com os detalhes da RFC enviada e a saída inicial de **execução**. 1. Abra a área **Parâmetros de execução** para ver as configurações que você enviou. Atualize a página para atualizar o status de execução do RFC. Opcionalmente, cancele a RFC ou crie uma cópia dela com as opções na parte superior da página. #### Criação de uma entidade ou política do IAM com a CLI Como funciona: 1. Use o Inline Create (você emite um `create-rfc` comando com todos os parâmetros de RFC e execução incluídos) ou o Template Create (você cria dois arquivos JSON, um para os parâmetros RFC e outro para os parâmetros de execução) e emita o `create-rfc` comando com os dois arquivos como entrada. Ambos os métodos são descritos aqui. 1. Envie o `aws amscm submit-rfc --rfc-id {{ID}}` comando RFC: com o ID RFC retornado. Monitore o `aws amscm get-rfc --rfc-id {{ID}}` comando RFC:. Para verificar a versão do tipo de alteração, use este comando: ``` aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value={{CT_ID}} ``` **nota** Você pode usar qualquer `CreateRfc` parâmetro com qualquer RFC, independentemente de eles fazerem parte do esquema para o tipo de alteração. Por exemplo, para receber notificações quando o status da RFC mudar, adicione essa linha `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` à parte dos parâmetros da RFC da solicitação (não aos parâmetros de execução). Para obter uma lista de todos os CreateRfc parâmetros, consulte a [Referência da API de gerenciamento de alterações do AMS](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html). *CRIAÇÃO EM LINHA*: Execute o comando create RFC com os parâmetros de execução fornecidos em linha (aspas de escape ao fornecer parâmetros de execução em linha) e, em seguida, envie a ID de RFC retornada. Por exemplo, você pode substituir o conteúdo por algo assim: ``` aws amscm create-rfc --change-type-id "ct-1n9gfnog5x7fl" --change-type-version "1.0" --title "{{Create role or policy}}" --execution-parameters '{"DocumentName":"AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin","Region":"{{us-east-1}}","Parameters":{"ValidateOnly":"{{No}}"},"RoleDetails":{"Roles":[{"RoleName":"{{RoleTest01}}","Description":"{{This is a test role}}","AssumeRolePolicyDocument":"{"Version": "2012-10-17", "Statement":{{[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole"}]}","ManagedPolicyArns":["arn:aws:iam::123456789012:policy/policy01","arn:aws:iam::123456789012:policy/policy02"],"Path":"/","MaxSessionDuration":"7200","PermissionsBoundary":"arn:aws:iam::123456789012:policy/permission_boundary01","InstanceProfile":"No"}]},"ManagedPolicyDetails":{"Policies":[{"ManagedPolicyName":"TestPolicy01","Description":"This is customer policy","Path":"/test/","PolicyDocument":"{"{{Version}}":"2012-10-17","Statement":[{"Sid":"AllQueueActions","Effect":"Allow","Action":"sqs:ListQueues","Resource":"*","Condition":{"ForAllValues:StringEquals":{"aws:tagKeys":["temporary"]}}}]}"}]}}}}' ``` *CRIAÇÃO DE MODELO*: 1. Envie os parâmetros de execução do esquema JSON para esse tipo de alteração em um arquivo; o exemplo o nomeia: CreateIamResourceParams.json ``` aws amscm get-change-type-version --change-type-id "ct-1n9gfnog5x7fl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json ``` 1. Modifique e salve o CreateIamResourceParams arquivo; o exemplo cria uma função do IAM com documentos de política colados em linha. ``` { "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin", "Region": "{{us-east-1}}", "Parameters": { "ValidateOnly": "{{No}}" }, "RoleDetails": { "Roles": [ { "RoleName": "{{RoleTest01}}", "Description": "{{This is a test role}}", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Effect": "{{Allow}}", "Principal": { "AWS": "{{arn:aws:iam::123456789012:root}}" }, "Action": "{{sts:AssumeRole}}" } ] }, "ManagedPolicyArns": [ "{{arn:aws:iam::123456789012:policy/policy01}}", "{{arn:aws:iam::123456789012:policy/policy02}}" ], "Path": "/", "MaxSessionDuration": "{{7200}}", "PermissionsBoundary": "{{arn:aws:iam::123456789012:policy/permission_boundary01}}", "InstanceProfile": "{{No}}" } ] }, "ManagedPolicyDetails": { "Policies": [ { "ManagedPolicyName": "{{TestPolicy01}}", "Description": "{{This is customer policy}}", "Path": "{{/test/}}", "PolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Sid": "{{AllQueueActions}}", "Effect": "{{Allow}}", "Action": "{{sqs:ListQueues}}", "Resource": "{{*}}", "Condition": { "{{ForAllValues:StringEquals}}": { "{{aws:tagKeys}}": [ "{{temporary}}" ] } } } ] } } ] } } ``` 1. Envie o arquivo JSON do modelo RFC para um arquivo chamado: CreateIamResourceRfc.json ``` aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json ``` 1. Modifique e salve o CreateIamResourceRfc.json arquivo. Por exemplo, você pode substituir o conteúdo por algo assim: ``` { "ChangeTypeVersion": "1.0", "ChangeTypeId": "ct-1n9gfnog5x7fl", "Title": "{{Create entity or policy (read-write permissions)}}" } ``` 1. Crie o RFC, especificando o CreateIamResourceRfc arquivo e o CreateIamResourceParams arquivo: ``` aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json --execution-parameters file://CreateIamResourceParams.json ``` Você recebe a ID da nova RFC na resposta e pode usá-la para enviar e monitorar a RFC. Até que você o envie, o RFC permanece no estado de edição e não inicia. #### Dicas + Depois que uma função do IAM é provisionada em sua conta, dependendo da função e do documento de política anexado à função, talvez seja necessário integrar a função na sua solução de federação. + Para obter informações sobre AWS Identity and Access Management, consulte [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/) e, para obter informações sobre políticas, consulte [Políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html). Para obter informações sobre permissões do AMS, consulte [Implantação de recursos do IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html). ## Parâmetros de entrada de execução Para obter informações detalhadas sobre os parâmetros de entrada de execução, consulte[Esquema para o tipo de alteração ct-1n9gfnog5x7fl](schemas.md#ct-1n9gfnog5x7fl-schema-section). ## Exemplo: parâmetros obrigatórios ``` { "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin", "Region": "us-east-1", "Parameters": { "ValidateOnly": "No" }, "RoleDetails": { "Roles": [ { "RoleName": "RoleTest01", "AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}" } ] }, "ManagedPolicyDetails": { "Policies": [ { "ManagedPolicyName": "TestPolicy01", "Description": "This is customer policy", "Path": "/test/", "PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}" } ] } } ``` ## Exemplo: Todos os parâmetros ``` { "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin", "Region": "us-east-1", "Parameters": { "ValidateOnly": "No" }, "RoleDetails": { "Roles": [ { "RoleName": "RoleTest01", "Description": "This is a test role", "AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}", "ManagedPolicyArns": [ "arn:aws:iam::123456789012:policy/policy01", "arn:aws:iam::123456789012:policy/policy02" ], "Path": "/", "MaxSessionDuration": "7200", "PermissionsBoundary": "arn:aws:iam::123456789012:policy/permission_boundary01", "InstanceProfile": "No" } ] }, "ManagedPolicyDetails": { "Policies": [ { "ManagedPolicyName": "TestPolicy01", "Description": "This is customer policy", "Path": "/test/", "PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}" } ] } } ```