As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Firewall Manager and AWS Organizations
<a name="services-that-can-integrate-fms"></a>

AWS Firewall Manager é um serviço de gerenciamento de segurança que você usa para configurar e gerenciar centralmente as regras de firewall e outras proteções em todos os Contas da AWS aplicativos da sua organização. Usando o Firewall Manager, você pode implantar AWS WAF regras, criar AWS Shield Advanced proteções, configurar e auditar grupos de segurança da Amazon Virtual Private Cloud (Amazon VPC) e AWS Network Firewall implantá-los. Use o Firewall Manager para configurar suas regras de firewall apenas uma vez e aplique-as automaticamente em todas as contas e recursos de sua organização, mesmo quando novos recursos e contas forem adicionados. Para obter mais informações sobre AWS Firewall Manager, consulte o *[Guia do AWS Firewall Manager desenvolvedor](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)*.

Use as informações a seguir para ajudá-lo a se integrar AWS Firewall Manager com AWS Organizations.



## Funções vinculadas ao serviço, criadas quando você habilitou a integração
<a name="integrate-enable-slr-fms"></a>

A [função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) a seguir é criada automaticamente na conta gerencial de sua organização quando você habilita o acesso confiável. Essa função permite que o Firewall Manager realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o Firewall Manager e o Organizations, ou se você remover a conta-membro da organização.
+ `AWSServiceRoleForFMS`

## Entidades de serviço primárias usadas pelas funções vinculadas ao serviço
<a name="integrate-enable-svcprin-fms"></a>

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Firewall Manager concedem acesso às seguintes entidades de serviço primárias:
+ `fms.amazonaws.com`

## Habilitar o acesso confiável no Firewall Manager
<a name="integrate-enable-ta-fms"></a>

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte [Permissões necessárias para habilitar o acesso confiável](orgs_integrate_services.md#orgs_trusted_access_perms).

Você pode habilitar o acesso confiável usando o AWS Firewall Manager console ou o AWS Organizations console.

**Importante**  
É altamente recomendável que, sempre que possível, você use o AWS Firewall Manager console ou as ferramentas para permitir a integração com o Organizations. Isso permite AWS Firewall Manager realizar qualquer configuração necessária, como criar os recursos necessários ao serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo AWS Firewall Manager. Para obter mais informações, consulte [esta nota](orgs_integrate_services.md#important-note-about-integration).   
Se você habilitar o acesso confiável usando o AWS Firewall Manager console ou as ferramentas, não precisará concluir essas etapas.

Você deve entrar com sua conta AWS Organizations de gerenciamento e configurar uma conta dentro da organização como conta de AWS Firewall Manager administrador. Para obter mais informações, consulte [Definir a conta de administrador do AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html) no *Guia do desenvolvedor do AWS Firewall Manager *.

Você pode habilitar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando ou chamando uma operação de API em um dos AWS SDKs.

------
#### [ Console de gerenciamento da AWS ]

**Para habilitar o acesso ao serviço confiável usando o console do Organizations**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.

1. No painel de navegação, escolha **Serviços**.

1. Escolha **AWS Firewall Manager** na lista de serviços.

1. Escolha **Enable trusted access (Habilitar acesso confiável)**.

1. Na caixa de diálogo **Habilitar o acesso confiável para o AWS Firewall Manager**, digite **habilitar** para confirmar e, em seguida, escolha **Habilitar o acesso confiável**.

1. Se você for administrador de somente AWS Organizations, informe ao administrador AWS Firewall Manager que agora ele pode habilitar esse serviço para funcionar a AWS Organizations partir do console de serviço.

------
#### [ AWS CLI, AWS API ]

**Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations**  
Use os seguintes AWS CLI comandos ou operações de API para habilitar o acesso confiável ao serviço:
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  Execute o comando a seguir para habilitá-lo AWS Firewall Manager como um serviço confiável com Organizations.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal fms.amazonaws.com
  ```

  Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS API: [Habilitar AWSService acesso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Desabilitar o acesso confiável no Firewall Manager
<a name="integrate-disable-ta-fms"></a>

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte [Permissões necessárias para desabilitar o acesso confiável](orgs_integrate_services.md#orgs_trusted_access_disable_perms).

Você pode desativar o acesso confiável usando as ferramentas AWS Firewall Manager ou as AWS Organizations ferramentas.

**Importante**  
É altamente recomendável que, sempre que possível, você use o AWS Firewall Manager console ou as ferramentas para desativar a integração com o Organizations. Isso permite AWS Firewall Manager realizar qualquer limpeza necessária, como excluir recursos ou funções de acesso que não são mais necessários para o serviço. Continue com estas etapas apenas se você não puder desabilitar a integração usando as ferramentas fornecidas pelo AWS Firewall Manager.  
Se você desabilitar o acesso confiável usando o AWS Firewall Manager console ou as ferramentas, não precisará concluir essas etapas.

**Para desabilitar acesso confiável usando o console do Firewall Manager**  
Você pode alterar ou revogar a conta do AWS Firewall Manager administrador seguindo as instruções em Como [designar uma conta diferente como a conta do AWS Firewall Manager administrador no Guia](https://docs.aws.amazon.com/waf/latest/developerguide/fms-change-administrator.html) do *AWS Firewall Manager desenvolvedor*.

Se você revogar a conta de administrador, deverá entrar na conta AWS Organizations de gerenciamento e definir uma nova conta de administrador para AWS Firewall Manager.

Você pode desativar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando do Organizations ou chamando uma operação da API Organizations em um dos AWS SDKs.

------
#### [ Console de gerenciamento da AWS ]

**Para desabilitar o acesso confiável usando o console do Organizations**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.

1. No painel de navegação, escolha **Serviços**.

1. Escolha **AWS Firewall Manager** na lista de serviços.

1. Escolha **Desabilitar acesso confiável**.

1. Na caixa de diálogo **Desabilitar o acesso confiável para o AWS Firewall Manager**, digite **desabilitar** para confirmar e, em seguida, escolha **Desabilitar o acesso confiável**.

1. Se você for administrador de somente AWS Organizations, informe ao administrador AWS Firewall Manager que agora ele pode impedir que esse serviço funcione AWS Organizations usando o console de serviço ou as ferramentas.

------
#### [ AWS CLI, AWS API ]

**Para desabilitar o acesso confiável usando a CLI/SKD do Organizations**  
Você pode usar os seguintes AWS CLI comandos ou operações de API para desativar o acesso confiável a serviços:
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  Execute o comando a seguir para desabilitar AWS Firewall Manager como um serviço confiável com Organizations.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal fms.amazonaws.com
  ```

  Esse comando não gera nenhuma saída quando é bem-sucedido.
+ AWS API: [Desativar AWSService acesso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Habilitar uma conta de administrador delegado para o Firewall Manager
<a name="integrate-enable-da-fms"></a>

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o Firewall Manager que, de outra forma, só podem ser executadas por usuários ou funções na conta gerencial da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Firewall Manager.

**Permissões mínimas**  
Somente um usuário ou perfil na conta gerencial do Organizations pode configurar uma conta-membro como administrador delegado para o Firewall Manager na organização.

Para obter instruções sobre como designar uma conta membro como administradora do Firewall Manager para a organização, consulte [Definir a conta de AWS Firewall Manager administrador](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html) no *Guia do AWS Firewall Manager desenvolvedor*.