As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Políticas de controle de recursos (RCPs)
<a name="orgs_manage_policies_rcps"></a>

**nota**  
**Políticas de controle de serviços (SCPs) e políticas de controle de recursos (RCPs)**  
Use uma SCP quando precisar limitar as permissões de entidades principais do IAM nas contas de membros da sua organização.  
Use uma RCP quando precisar restringir as solicitações de acesso a recursos dentro das contas de membros da sua organização feitas por entidades principais do IAM externas às contas da sua organização.  
Para obter mais informações, consulte [Compreendendo SCPs RCPs e.](orgs_manage_policies_authorization_policies.md)

As políticas de controle de recursos (RCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões em sua organização. RCPs ofereça controle central sobre o máximo de permissões disponíveis para recursos em sua organização. RCPs ajudam você a garantir que os recursos em suas contas permaneçam dentro das diretrizes de controle de acesso da sua organização. RCPs estão disponíveis somente em uma organização que tenha [todos os recursos habilitados](orgs_manage_org_support-all-features.md). RCPs não estão disponíveis se sua organização tiver ativado somente os recursos de cobrança consolidada. Para obter instruções sobre como habilitar RCPs, consulte[Habilitação de um tipo de política](enable-policy-type.md).

RCPs sozinhos, não são suficientes para conceder permissões aos recursos em sua organização. Nenhuma permissão é concedida por uma RCP. Uma RCP define uma barreira de proteção de permissões, ou define limites, nas ações que as identidades podem realizar em relação aos recursos em suas organizações. O administrador ainda deve associar políticas baseadas em identidade a usuários ou funções do IAM, ou políticas baseadas em recursos a recursos em suas contas, para efetivamente conceder permissões. Para obter mais informações, consulte [Políticas baseadas em identidade e em recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) no *Guia do usuário do IAM*.

As [permissões efetivas](#rcp-effects-on-permissions) são a interseção lógica entre o que é permitido pelas RCPs [políticas de controle de serviços (SCPs)](orgs_manage_policies_scps.md) e o que é permitido pelas políticas baseadas em identidade e recursos.

**RCPs não afetam os recursos na conta de gerenciamento**  
RCPs não afetam os recursos na conta de gerenciamento. Elas afetam apenas os recursos das contas de membros dentro de sua organização. Isso também significa que RCPs se aplicam às contas de membros designadas como administradores delegados.

****Tópicos nesta página****
+ [Lista Serviços da AWS desse suporte RCPs](#rcp-supported-services)
+ [Testando os efeitos do RCPs](#rcp-warning-testing-effect)
+ [Tamanho máximo de RCPs](#rcp-size-limit)
+ [Vinculando-se RCPs a diferentes níveis da organização](#rcp-about-inheritance)
+ [Efeitos da RCP sobre permissões](#rcp-effects-on-permissions)
+ [Recursos e entidades não restritos por RCPs](#actions-not-restricted-by-rcps)
+ [Avaliação da RCP](orgs_manage_policies_rcps_evaluation.md)
+ [Sintaxe de RCP](orgs_manage_policies_rcps_syntax.md)
+ [Exemplos de política de controle de recursos](orgs_manage_policies_rcps_examples.md)

## Lista Serviços da AWS desse suporte RCPs
<a name="rcp-supported-services"></a>

RCPs aplicam-se às ações para o seguinte Serviços da AWS:
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS Security Token Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [ CloudWatch Registros da Amazon](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [AWS AppConfig](https://docs.aws.amazon.com/appconfig)
+ [Amazon AppStream](https://docs.aws.amazon.com/appstream)
+ [Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling)
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild)
+ [AWS CodeCommit](https://docs.aws.amazon.com/codecommit)
+ [Amazon Comprehend](https://docs.aws.amazon.com/comprehend)
+ [Amazon Comprehend Medical](https://docs.aws.amazon.com/comprehendmedical)
+ [DynamoDB Accelerator](https://docs.aws.amazon.com/dax)
+ [Amazon Elastic Container Registry](https://docs.aws.amazon.com/ecr)
+ [AWS Health](https://docs.aws.amazon.com/health)
+ [Amazon Kinesis Video Streams](https://docs.aws.amazon.com/kinesisvideo)
+ [Amazon sem OpenSearch servidor](https://docs.aws.amazon.com/opensearch-service)
+ [AWS Support](https://docs.aws.amazon.com/support)
+ [Amazon Textract](https://docs.aws.amazon.com/textract)
+ [Amazon Transcribe](https://docs.aws.amazon.com/transcribe)
+ [Amazon Translate](https://docs.aws.amazon.com/translate)

## Testando os efeitos do RCPs
<a name="rcp-warning-testing-effect"></a>

AWS recomenda fortemente que você não se vincule RCPs à raiz da sua organização sem testar minuciosamente o impacto que a política tem sobre os recursos em suas contas. Você pode começar RCPs anexando contas de teste individuais, movendo-as para um OUs nível inferior na hierarquia e, em seguida, subindo na estrutura organizacional conforme necessário. Uma forma de determinar o impacto é analisar os AWS CloudTrail registros em busca de erros de acesso negado.

## Tamanho máximo de RCPs
<a name="rcp-size-limit"></a>

Todos os caracteres em sua conta de RCP contam em relação ao seu [tamanho máximo](orgs_reference_limits.md#min-max-values). Os exemplos deste guia mostram o RCPs formato com espaço em branco extra para melhorar sua legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do tamanho máximo, é possível excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.

**dica**  
Use o editor visual para criar sua RCP. Ele remove automaticamente os espaços em branco.

## Vinculando-se RCPs a diferentes níveis da organização
<a name="rcp-about-inheritance"></a>

Você pode se vincular RCPs diretamente a contas individuais ou à raiz da organização. OUs Para obter uma explicação detalhada de como RCPs funciona, consulte[Avaliação da RCP](orgs_manage_policies_rcps_evaluation.md).

## Efeitos da RCP sobre permissões
<a name="rcp-effects-on-permissions"></a>

RCPs são um tipo de política AWS Identity and Access Management (IAM). Elas estão mais intimamente relacionadas às políticas [baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). No entanto, uma RCP nunca concede permissões. Em vez disso, RCPs são controles de acesso que especificam o máximo de permissões disponíveis para recursos em sua organização. Para acessar mais informações, consulte [Lógica da avaliação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
+ RCPs aplicam-se aos recursos de um subconjunto de. Serviços da AWS Para obter mais informações, consulte [Lista Serviços da AWS desse suporte RCPs](#rcp-supported-services).
+ RCPs ***afetam somente os recursos*** gerenciados por contas que fazem parte da organização que anexou RCPs o. Elas não afetam os recursos de contas externas à organização. Por exemplo, considere um bucket do Amazon S3; que é de propriedade da Conta A em uma organização. A política de bucket (uma política baseada em recursos) concede acesso a usuários da Conta B fora da organização. A Conta A tem uma RCP anexada. Essa RCP se aplica ao bucket S3 na Conta A, mesmo quando acessada por usuários da Conta B. No entanto, essa RCP não se aplica aos recursos na Conta B quando acessada ​​por usuários da Conta A.
+ Uma RCP restringe as permissões para recursos nas contas de membros. Qualquer recurso em uma conta tem apenas as permissões permitidas por ***todas*** as contas superiores a ela. Se uma permissão for bloqueada em qualquer nível acima da conta, um recurso na conta afetada não terá essa permissão, mesmo que o proprietário do recurso anexe uma política baseada em recursos que permita acesso total a qualquer usuário.
+ RCPs aplicam-se aos recursos autorizados como parte de uma solicitação de operação. Esses recursos podem ser encontrados na coluna “Tipo de recurso” da tabela Ação na [Referência de autorização de serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table). Se um recurso for especificado na coluna “Tipo de recurso”, a RCPs conta principal chamadora será aplicada. Por exemplo, `s3:GetObject` autoriza o recurso do objeto. Sempre que uma solicitação `GetObject` for feita, uma RCP aplicável será aplicada para determinar se a entidade principal solicitante pode invocar a operação `GetObject`. Uma *RCP aplicável* é uma RCP que foi anexada a uma conta, a uma unidade organizacional (UO) ou à raiz da organização proprietária do recurso que está sendo acessado.
+ RCPs afetam somente os recursos nas contas dos ***membros*** da organização. Elas não têm efeito sobre os recursos na conta gerencial. Isso também significa que RCPs se aplicam às contas de membros designadas como administradores delegados. Para obter mais informações, consulte [Práticas recomendadas para a conta gerencial](orgs_best-practices_mgmt-acct.md).
+ Quando uma entidade principal faz uma solicitação de acesso a um recurso dentro de uma conta que possui uma RCP associada (um recurso com uma RCP aplicável), a RCP é incluída na lógica de avaliação da política para determinar se o acesso do usuário principal é permitido ou negado.
+ RCPs afetam as permissões efetivas dos diretores que tentam acessar recursos em uma conta membro com um RCP aplicável, independentemente de os diretores pertencerem às mesmas organizações ou não. Isso inclui usuários-raiz. A exceção é quando os principais são funções vinculadas ao serviço porque RCPs não se aplicam às chamadas feitas por funções vinculadas ao serviço. As funções vinculadas ao serviço permitem Serviços da AWS realizar as ações necessárias em seu nome e não podem ser restringidas por. RCPs 
+ Usuários e perfis ainda precisam receber permissões com políticas de permissão IAM apropriadas, incluindo políticas baseadas em identidade e políticas baseadas em recursos. Um usuário ou função sem nenhuma política de permissão do IAM não tem acesso, mesmo que uma RCP aplicável permita todos os serviços, todas as ações e todos os recursos.

## Recursos e entidades não restritos por RCPs
<a name="actions-not-restricted-by-rcps"></a>

Você ***não pode*** usar RCPs para restringir o seguinte:
+ Qualquer ação sobre recursos na conta gerencial.
+ RCPs não afetam as permissões efetivas de nenhuma função vinculada ao serviço. As funções vinculadas ao serviço são um tipo exclusivo de função do IAM vinculada diretamente a um AWS serviço e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. As permissões das funções vinculadas ao serviço não podem ser restringidas por. RCPs RCPs também não afetam a capacidade AWS dos serviços de assumir uma função vinculada ao serviço; ou seja, a política de confiança da função vinculada ao serviço também não é afetada pela. RCPs
+ RCPs não se inscreva [Chaves gerenciadas pela AWS para AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk). Chaves gerenciadas pela AWS são criados, gerenciados e usados em seu nome por um AWS service (Serviço da AWS). Você não pode alterar ou gerenciar as permissões delas.
+ RCPs não impacte as seguintes permissões:  
****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/orgs_manage_policies_rcps.html)