As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Provisionamento automatizado de IAM com permissões de leitura e gravação \$1 Habilitar (automação gerenciada)
<a name="management-managed-automated-iam-provisioning-with-read-write-permissions-enable-managed-automation"></a>

Ative o provisionamento automatizado do IAM com permissões de leitura e gravação na conta usada para enviar essa CT. Depois de ativada, uma nova função IAMProvision AdminRole “AWSManagedServiços” é criada nessa conta. Além disso, você pode usar três tipos de alteração relacionados (ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq, ct-17cj84y7632o6) para criar, atualizar ou excluir funções e políticas do IAM usando o provisionamento automatizado do IAM com permissões de leitura e gravação, que emprega um processo de revisão automatizado com um conjunto predefinido de regras para IAM e AMS. Antes de usar, recomendamos uma boa familiaridade com as regras do IAM. Para confirmar se uma conta tem o provisionamento automatizado do IAM ativado, procure a função “AWSManagedServiços IAMProvisionAdminRole” do IAM no console do IAM dessa conta.

**Classificação completa:** Gerenciamento \$1 Conta gerenciada \$1 Provisionamento automatizado de IAM com permissões de leitura e gravação \$1 Ativar (automação gerenciada)

## Detalhes do tipo de alteração
<a name="ct-1706xvvk6j9hf-MMAe-table"></a>


****  

|  |  | 
| --- |--- |
| ID do tipo de alteração | ct-1706xvvk6j9hf | 
| Versão atual | 1,0 | 
| Duração esperada da execução | 240 minutos | 
| Aprovação da AWS | Obrigatório | 
| Aprovação do cliente | Não é necessário se o remetente | 
| Modo de execução | Manual | 

## Informações adicionais
<a name="management-managed-automated-iam-provisioning-with-read-write-permissions-enable-managed-automation-info"></a>

### Crie uma entidade ou política do IAM
<a name="ex-iam-entity-create-col"></a>

#### Criação de uma entidade ou política do IAM com o console
<a name="iam-entity-create-con"></a>

![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/ctref/images/guiIamEntityCreateCT.png)


Como funciona:

1. Navegue até a página **Criar RFC**: No painel de navegação esquerdo do console AMS, clique **RFCs**para abrir a página da RFCs lista e, em seguida, clique em **Criar** RFC.

1. Escolha um tipo de alteração popular (CT) na visualização padrão **Procurar tipos de alteração** ou selecione uma CT na visualização **Escolher por categoria**.
   + **Navegar por tipo de alteração**: você pode clicar em um CT popular na área de **criação rápida** para abrir imediatamente a página **Executar RFC**. Observe que você não pode escolher uma versão mais antiga do CT com a criação rápida.

     Para classificar CTs, use a área **Todos os tipos de alteração** na exibição **Cartão** ou **Tabela**. Em qualquer exibição, selecione uma CT e clique em **Criar RFC** para abrir a página **Executar RFC**. Se aplicável, a opção **Criar com uma versão mais antiga** aparece ao lado do botão **Criar RFC**.
   + **Escolha por categoria**: selecione uma categoria, subcategoria, item e operação e a caixa de detalhes do CT será aberta com a opção **Criar com uma versão mais antiga**, se aplicável. Clique em **Criar RFC** para abrir a página **Executar RFC**.

1. Na página **Executar RFC**, abra a área do nome do CT para ver a caixa de detalhes do CT. É necessário um **Assunto** (preenchido se você escolher seu CT na visualização **Procurar tipos de alteração**). Abra a área **Configuração adicional** para adicionar informações sobre o RFC.

   Na área **Configuração de execução**, use as listas suspensas disponíveis ou insira valores para os parâmetros necessários. Para configurar parâmetros de execução opcionais, abra a área **Configuração adicional**.

1. Ao terminar, clique em **Executar**. Se não houver erros, a página **RFC criada com sucesso** será exibida com os detalhes da RFC enviada e a saída inicial de **execução**. 

1. Abra a área **Parâmetros de execução** para ver as configurações que você enviou. Atualize a página para atualizar o status de execução do RFC. Opcionalmente, cancele a RFC ou crie uma cópia dela com as opções na parte superior da página.

#### Criação de uma entidade ou política do IAM com a CLI
<a name="iam-entity-create-cli"></a>

Como funciona:

1. Use o Inline Create (você emite um `create-rfc` comando com todos os parâmetros de RFC e execução incluídos) ou o Template Create (você cria dois arquivos JSON, um para os parâmetros RFC e outro para os parâmetros de execução) e emita o `create-rfc` comando com os dois arquivos como entrada. Ambos os métodos são descritos aqui.

1. Envie o `aws amscm submit-rfc --rfc-id ID` comando RFC: com o ID RFC retornado.

   Monitore o `aws amscm get-rfc --rfc-id ID` comando RFC:.

Para verificar a versão do tipo de alteração, use este comando:

```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**nota**  
Você pode usar qualquer `CreateRfc` parâmetro com qualquer RFC, independentemente de eles fazerem parte do esquema para o tipo de alteração. Por exemplo, para receber notificações quando o status da RFC mudar, adicione essa linha `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` à parte dos parâmetros da RFC da solicitação (não aos parâmetros de execução). Para obter uma lista de todos os CreateRfc parâmetros, consulte a [Referência da API de gerenciamento de alterações do AMS](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html).

*CRIAÇÃO EM LINHA*:

Execute o comando create RFC com os parâmetros de execução fornecidos em linha (aspas de escape ao fornecer parâmetros de execução em linha) e, em seguida, envie a ID de RFC retornada. Por exemplo, você pode substituir o conteúdo por algo assim:

```
aws amscm create-rfc --change-type-id "ct-1n9gfnog5x7fl" --change-type-version "1.0" --title "Create role or policy" --execution-parameters '{"DocumentName":"AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin","Region":"us-east-1","Parameters":{"ValidateOnly":"No"},"RoleDetails":{"Roles":[{"RoleName":"RoleTest01","Description":"This is a test role","AssumeRolePolicyDocument":"{"Version": "2012-10-17", 		 	 	 		 	 	 "Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole"}]}","ManagedPolicyArns":["arn:aws:iam::123456789012:policy/policy01","arn:aws:iam::123456789012:policy/policy02"],"Path":"/","MaxSessionDuration":"7200","PermissionsBoundary":"arn:aws:iam::123456789012:policy/permission_boundary01","InstanceProfile":"No"}]},"ManagedPolicyDetails":{"Policies":[{"ManagedPolicyName":"TestPolicy01","Description":"This is customer policy","Path":"/test/","PolicyDocument":"{"Version":"2012-10-17","Statement":[{"Sid":"AllQueueActions","Effect":"Allow","Action":"sqs:ListQueues","Resource":"*","Condition":{"ForAllValues:StringEquals":{"aws:tagKeys":["temporary"]}}}]}"}]}}'
```

*CRIAÇÃO DE MODELO*:

1. Envie os parâmetros de execução do esquema JSON para esse tipo de alteração em um arquivo; o exemplo o chama de .json: CreateIamResourceParams

   ```
   aws amscm get-change-type-version --change-type-id "ct-1n9gfnog5x7fl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json
   ```

1. Modifique e salve o CreateIamResourceParams arquivo; o exemplo cria uma função do IAM com documentos de política colados em linha.

   ```
   {
     "DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
     "Region": "us-east-1",
     "Parameters": {
       "ValidateOnly": "No"
     },
     "RoleDetails": {
       "Roles": [
         {
           "RoleName": "RoleTest01",
           "Description": "This is a test role",
           "AssumeRolePolicyDocument": {
             "Version": "2012-10-17", 		 	 	 		 	 	 
             "Statement": [
               {
                 "Effect": "Allow",
                 "Principal": {
                   "AWS": "arn:aws:iam::123456789012:root"
                 },
                 "Action": "sts:AssumeRole"
               }
             ]
           },
           "ManagedPolicyArns": [
             "arn:aws:iam::123456789012:policy/policy01",
             "arn:aws:iam::123456789012:policy/policy02"
           ],
           "Path": "/",
           "MaxSessionDuration": "7200",
           "PermissionsBoundary": "arn:aws:iam::123456789012:policy/permission_boundary01",
           "InstanceProfile": "No"
         }
       ]
     },
     "ManagedPolicyDetails": {
       "Policies": [
         {
           "ManagedPolicyName": "TestPolicy01",
           "Description": "This is customer policy",
           "Path": "/test/",
           "PolicyDocument": {
             "Version": "2012-10-17", 		 	 	 		 	 	 
             "Statement": [
               {
                 "Sid": "AllQueueActions",
                 "Effect": "Allow",
                 "Action": "sqs:ListQueues",
                 "Resource": "*",
                 "Condition": {
                   "ForAllValues:StringEquals": {
                     "aws:tagKeys": [
                       "temporary"
                     ]
                   }
                 }
               }
             ]
           }
         }
       ]
     }
   }
   ```

1. Envie o arquivo JSON do modelo RFC para um arquivo chamado CreateIamResourceRfc .json:

   ```
   aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json
   ```

1. Modifique e salve o CreateIamResourceRfc arquivo.json. Por exemplo, você pode substituir o conteúdo por algo assim:

   ```
   {
     "ChangeTypeVersion": "1.0",
     "ChangeTypeId": "ct-1n9gfnog5x7fl",
     "Title": "Create entity or policy (read-write permissions)"
   }
   ```

1. Crie o RFC, especificando o CreateIamResourceRfc arquivo e o CreateIamResourceParams arquivo:

   ```
   aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json  --execution-parameters file://CreateIamResourceParams.json
   ```

   Você recebe a ID da nova RFC na resposta e pode usá-la para enviar e monitorar a RFC. Até que você o envie, o RFC permanece no estado de edição e não inicia.

#### Dicas
<a name="ex-iam-entity-create-tip"></a>
+ Depois que uma função do IAM é provisionada em sua conta, dependendo da função e do documento de política anexado à função, talvez seja necessário integrar a função na sua solução de federação. 
+ Para obter informações sobre AWS Identity and Access Management, consulte [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/) e, para obter informações sobre políticas, consulte [Políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html). Para obter informações sobre permissões do AMS, consulte [Implantação de recursos do IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html).

## Parâmetros de entrada de execução
<a name="management-managed-automated-iam-provisioning-with-read-write-permissions-enable-managed-automation-input"></a>

Para obter informações detalhadas sobre os parâmetros de entrada de execução, consulte[Esquema para o tipo de alteração ct-1706xvvk6j9hf](schemas.md#ct-1706xvvk6j9hf-schema-section).

## Exemplo: parâmetros obrigatórios
<a name="management-managed-automated-iam-provisioning-with-read-write-permissions-enable-managed-automation-ex-min"></a>

```
Example not available.
```

## Exemplo: Todos os parâmetros
<a name="management-managed-automated-iam-provisioning-with-read-write-permissions-enable-managed-automation-ex-max"></a>

```
{
  "SAMLIdentityProviderArns": ["arn:aws:iam::123456789012:saml-provider/customer-saml"],
  "IamEntityArns": ["arn:aws:iam::123456789012:role/test-role-one", "arn:aws:iam::123456789012:role/test-role-two"],
  "CustomerCustomDenyActionsList1": "ec2:Create*,ec2:Delete*,sso-admin:*,resource-explorer-2:*",
  "Priority": "High"
}
```