

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Federe seu Active Directory com as funções do AMS AWS Identity and Access Management
<a name="federate-dir-with-sent-iam-roles"></a>

O objetivo de federar seu diretório com as funções do AMS IAM é permitir que os usuários corporativos usem suas credenciais corporativas para interagir com o Console de gerenciamento da AWS e o e, portanto AWS APIs, com o console do AMS e. APIs

# Exemplo de processo de federação
<a name="fed-process-ex"></a>

Este exemplo usa os Serviços de Federação do Active Directory (AD FS); no entanto, qualquer tecnologia que ofereça suporte à AWS Identity and Access Management Federação é suportada. Para obter mais informações sobre a federação do IAM AWS compatível, consulte [Parceiros do IAM](https://aws.amazon.com/iam/partners/) e [provedores de identidade e federação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). Seu CSDM o ajudará nesse processo, que envolve um esforço conjunto com sua equipe de AD e o AMS.

Para obter informações detalhadas sobre a integração do SAML para acesso à API, consulte este AWS blog, [Como implementar API federada e acesso à CLI usando SAML](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) 2.0 e AD FS.

**nota**  
Para obter um exemplo de instalação da CLI do AMS e do SAML, consulte. [Apêndice: Regra de declaração dos Serviços de ActiveDirectory Federação (ADFS) e configurações de SAML](apx-adfs-claim-rule-saml.md)

# Configurando a federação no console AMS (SALZ)
<a name="fed-with-console"></a>

As funções do IAM e o provedor de identidade SAML (entidade confiável) detalhados na tabela a seguir foram provisionados como parte da integração da sua conta. Essas funções permitem que você envie e monitore RFCs solicitações de serviço e relatórios de incidentes, além de obter informações sobre suas VPCs pilhas de anúncios.


****  

| Role (Função) | Provedor de identidades | Permissões | 
| --- | --- | --- | 
| Customer\$1 \$1Função ReadOnly | SAML | Para contas AMS padrão. Permite que você envie RFCs para fazer alterações na infraestrutura gerenciada pelo AMS, bem como crie solicitações de serviço e incidentes.  | 
| customer\$1managed\$1ad\$1user\$1role | SAML | Para contas do AMS Managed Active Directory. Permite que você faça login no console do AMS para criar solicitações e incidentes de serviço (não RFCs). | 

Para obter a lista completa das funções disponíveis em diferentes contas, consulte[Função de usuário do IAM no AMS](defaults-user-role.md).

Um membro da equipe de integração carrega o arquivo de metadados da sua solução de federação para o provedor de identidade pré-configurado. Você usa um provedor de identidade SAML quando deseja estabelecer confiança entre um IdP (provedor de identidade) compatível com SAML, como Shibboleth ou Active Directory Federation Services, para que os usuários da sua organização possam acessar os recursos da AWS. Os provedores de identidade SAML no IAM são usados como principais em uma política de confiança do IAM com as funções acima.

Enquanto outras soluções de federação fornecem instruções de integração para a AWS, o AMS tem instruções separadas. O uso da postagem do blog a seguir, [Habilitando a federação na AWS usando o Windows Active Directory, AD FS e SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/), junto com as emendas fornecidas abaixo, permitirá que seus usuários corporativos acessem várias contas da AWS a partir de um único navegador.

Depois de criar a confiança da parte confiável de acordo com a postagem do blog, configure as regras de reivindicações da seguinte maneira:
+ **NameId**: Siga a postagem do blog.
+ **RoleSessionName**: Use os seguintes valores:
  + **Nome da regra de reivindicação**: RoleSessionName
  + **Armazenamento de atributos**: Active Directory
  + Atributo **LDAP**: SAM-Account-Name
  + **Tipo de reclamação de saída**: https://aws.amazon.com/SAML/ Atributos/ RoleSessionName
+ Obtenha grupos do AD: siga a postagem do blog.
+ Reivindicação de função: siga a postagem do blog, mas para a regra personalizada, use o seguinte:

  ```
  c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
   "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
  ```

Ao usar o AD FS, você deve criar grupos de segurança do Active Directory para cada função no formato mostrado na tabela a seguir (customer\$1managed\$1ad\$1user\$1role é somente para contas AD gerenciadas pelo AMS):


****  

| Grupo | Role (Função) | 
| --- | --- | 
| AWS- [AccountNo] ReadOnly -Cliente\$1 \$1Função | Customer\$1 \$1Função ReadOnly | 
| AWS- [AccountNo] -customer\$1managed\$1ad\$1user\$1role | customer\$1managed\$1ad\$1user\$1role | 

Para obter mais informações, consulte [Configurando asserções SAML para a](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) resposta de autenticação.

**dica**  
Para ajudar na solução de problemas, baixe o plug-in rastreador SAML para seu navegador.

# Enviando a solicitação de federação ao AMS
<a name="fed-with-console-submit"></a>

Se essa for sua primeira conta, trabalhe com seus CSDM (s) and/or Cloud Architect (s) para fornecer o arquivo XML de metadados para seu provedor de identidade.

Se você estiver integrando uma conta adicional ou provedor de identidade e tiver acesso à conta de gerenciamento ou à conta do aplicativo desejada, siga estas etapas.

1. Crie uma solicitação de serviço no console do AMS e forneça os detalhes necessários para adicionar o provedor de identidade:
   + AccountId da conta em que o novo provedor de identidade será criado.
   + O nome do provedor de identidade desejado, se não for fornecido, o padrão será **customer-saml**; normalmente, ele deve corresponder às configurações definidas no seu provedor de federação.
   + Para contas existentes, inclua se o novo provedor de identidade deve ser propagado para todas as funções de console existentes ou forneça uma lista de funções que devem confiar no novo provedor de identidade.
   + Anexe o arquivo XML de metadados exportado do seu agente de federação à solicitação de serviço como anexo de arquivo.

1. Na mesma conta em que você criou a solicitação de serviço, crie uma nova RFC usando CT-ID ct-1e1xtak34nx76 (Gerenciamento \$1 Outros \$1 Outros \$1 Criar) com as seguintes informações.
   + Título: “SAML IDP integrado <Name>para conta < >AccountId”.
   + AccountId da conta em que o provedor de identidade será criado.
   + Nome do provedor de identidade.
   + Para contas existentes: se o provedor de identidade deve ser propagado para todas as funções de console existentes ou a lista de funções que devem confiar no novo provedor de identidade.
   + ID do caso da solicitação de serviço criada na Etapa 1, em que o arquivo XML de metadados é anexado.

# Verifique o acesso ao console
<a name="verify-console-access"></a>

Depois de configurar o ADFS e ter a URL do AMS para usar na autenticação, siga estas etapas.

Com uma configuração do Active Directory Federated Service (ADFS), você pode seguir estas etapas:

1. Abra uma janela do navegador e acesse a página de login fornecida para sua conta. A **IdpInitiatedSignOn**página ADFS da sua conta é aberta. 

1. Selecione o botão de rádio ao lado de **Entrar em um dos sites a seguir**. A lista **de opções do site de login** fica ativa. 

1. **Escolha o site **signin.aws.amazon.com** e clique em Entrar.** As opções para inserir suas credenciais estão abertas.

1. Insira suas credenciais CORP e clique em **Entrar**. As Console de gerenciamento da AWS aberturas.

1. Cole na barra de localização o URL do console AMS e pressione **Enter**. O console AMS é aberto.

# Verifique o acesso à API
<a name="verify-api-access"></a>

O AMS usa a API da AWS, com algumas operações específicas da AMS que você pode ler na Referência da [API do AMS](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html).

A AWS fornece vários SDKs que você pode acessar em [Tools for Amazon Web Services](https://aws.amazon.com/tools/). Se você não quiser usar um SDK, pode fazer chamadas diretas à API. Para obter informações sobre autenticação, consulte [Assinar solicitações de API da AWS](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html). Se você não estiver usando um SDK ou fazendo solicitações diretas de API HTTP, poderá usar o AMS CLIs for Change Management (CM) e o SKMS. 

# Instale o AMS CLIs
<a name="install-cli"></a>

Para obter um exemplo de instalação da CLI do AWS Managed Services (AMS) para usar com o SAML, consulte. [Apêndice: Regra de declaração dos Serviços de ActiveDirectory Federação (ADFS) e configurações de SAML](apx-adfs-claim-rule-saml.md)

Se você precisar de acesso temporário, para obter e instalar o AWS Managed Services (AMS) SDKs, consulte [Acesso temporário ao console AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html). 
**nota**  
Você deve ter credenciais de administrador para esse procedimento.

A AWS CLI é um pré-requisito para usar o AWS Managed Services (AMS) CLIs (Change Management and SKMS).

1. Para instalar a AWS CLI, consulte [Instalação da interface de linha de comando da AWS](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) e siga as instruções apropriadas. Observe que, na parte inferior dessa página, há instruções para usar diferentes instaladores, [Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html), [MS Windows](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html), [macOS](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html), ambiente [virtual,](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html) [instalador empacotado (Linux, macOS](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html) ou Unix).

   Após a instalação, execute `aws help` para verificar a instalação.

1. Depois que o AWS CLI estiver instalado, para instalar ou atualizar o AMS CLI, baixe o arquivo zip distribuível do AMS AMS **CLI** ou do **SDK do AMS** e descompacte. Você pode acessar os distribuíveis do AMS CLI por meio do link [https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources) no painel esquerdo do console do AMS.

1. O arquivo README fornece instruções para qualquer instalação.

   Abra uma das seguintes opções:
   + Zip da CLI: fornece somente a CLI do AMS.
   + Zip do SDK: fornece todo o AMS APIs e a CLI do AMS.

   Para **Windows**, execute o instalador apropriado (somente sistemas de 32 ou 64 bits):
   + 32 bits: **ManagedCloudAPI\$1x86.msi**
   + 64 bits: **ManagedCloudAPI\$1x64.msi**

   Para **Mac/Linux**, execute o arquivo chamado: **AWSManagedServices\$1InstallCLI.sh** executando este comando:. `sh AWSManagedServices_InstallCLI.sh` **Observe que os diretórios **amscm** e **amsskms** e seu conteúdo devem estar no mesmo diretório do arquivo.sh. AWSManagedServices\$1InstallCLI**

1. Se suas credenciais corporativas forem usadas por meio de federação com a AWS (a configuração padrão do AMS), você deverá instalar uma ferramenta de gerenciamento de credenciais que possa acessar seu serviço de federação. Por exemplo, você pode usar este blog de segurança da AWS [Como implementar API federada e acesso à CLI usando SAML 2.0 e AD](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) FS para ajudar a configurar suas ferramentas de gerenciamento de credenciais.

1. Após a instalação, execute `aws amscm help` e veja `aws amsskms help` os comandos e opções.
**nota**  
A CLI do AMS deve estar instalada para que esses comandos funcionem. Para instalar a API ou a CLI do AMS, acesse a página **Recursos para desenvolvedores** do console AMS. Para obter material de referência sobre a API AMS CM ou a API AMS SKMS, consulte a seção Recursos de informação do AMS no Guia do usuário. Talvez seja necessário adicionar uma `--profile` opção para autenticação; por exemplo,`aws amsskms ams-cli-command --profile SAML`. Talvez você também precise adicionar a `--region` opção, pois todos os comandos do AMS saem de us-east-1; por exemplo. `aws amscm ams-cli-command --region=us-east-1`

# Programação de backups do AMS no nível da VPC
<a name="schedule-backups"></a>

O agendamento de backup do AWS Managed Services (AMS) na VPC, onde as instâncias de destino são alocadas, é criado durante a integração da conta com uma tag padrão no esquema de criação da VPC. O sistema de backup agenda a execução dos instantâneos dependendo dessa tag VPC. A modificação do cronograma pode ser feita criando uma solicitação de serviço. Para obter mais informações, consulte [VPC Tag and](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html) Defaults.

Para padrões de backup, consulte [Entendendo](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html) os padrões do AMS