Aviso de fim do suporte: em 7 de outubro de 2026, AWS encerrará o suporte para AWS Proton. Depois de 7 de outubro de 2026, você não poderá mais acessar o AWS Proton console ou os AWS Proton recursos. Sua infraestrutura implantada permanecerá intacta. Para obter mais informações, consulte o Guia [AWS Proton de descontinuação e migração de serviços](https://docs.aws.amazon.com/proton/latest/userguide/proton-end-of-support.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conexões de conta de ambiente
**Visão geral**
Saiba como criar e gerenciar um AWS Proton ambiente em uma conta e provisionar seus recursos de infraestrutura em outra conta. Isso pode ajudar a melhorar a visibilidade e a eficiência em grande escala. As conexões de conta do ambiente oferecem suporte apenas ao provisionamento padrão com infraestrutura do CloudFormation como código.
**nota**
As informações neste tópico são relevantes para ambientes configurados com *provisionamento gerenciado pelo AWS *. Com ambientes configurados com *provisionamento autogerenciado, AWS Proton não provisiona* diretamente sua infraestrutura. Em vez disso, ele envia pull requests (PRs) ao seu repositório para provisionamento. É sua responsabilidade garantir que seu código de automação assuma a identidade e o perfil corretos.
Para obter mais informações sobre métodos de provisionamento, consulte [Como AWS Proton provisiona a infraestrutura](ag-works-prov-methods.md).
**Terminologia**
Com *conexões de conta de AWS Proton ambiente*, você pode criar um AWS Proton ambiente a partir de uma conta e provisionar sua infraestrutura em outra conta.
conta gerencial
A conta única em que você, como administrador, cria um AWS Proton ambiente que provisiona recursos de infraestrutura em outra *conta de ambiente*.
Conta do ambiente
Uma conta na qual a infraestrutura de ambiente é provisionada, quando você cria um ambiente de AWS Proton em outra conta.
Conexão de conta de ambiente
Uma conexão bidirecional segura entre uma *conta de gerenciamento* e uma *conta de ambiente.* Mantém a autorização e as permissões conforme descritas mais adiante nas seções seguintes.
Quando você cria uma conexão de conta de ambiente em uma conta de ambiente em uma região específica, somente as contas de gerenciamento na mesma região podem ver e usar a conexão da conta de ambiente. Isso significa que o AWS Proton ambiente criado na conta de gerenciamento e a infraestrutura ambiental provisionada na conta de ambiente devem estar na mesma região.
**Considerações sobre a conexão da conta de ambiente**
+ Você precisa de uma conexão de conta de ambiente para cada ambiente que você deseja provisionar em uma conta de ambiente.
+ Para obter informações sobre as cotas de conexão da conta de ambiente, consulte [AWS Proton cotas](ag-limits.md).
**Tags**
Na conta do ambiente, use o console ou o AWS CLI para visualizar e gerenciar as tags gerenciadas pelo cliente da conexão da conta do ambiente. AWS tags gerenciadas *não são* geradas para conexões de contas de ambiente. Para obter mais informações, consulte [AWS Proton recursos e marcação](resources.md).
## Criar um ambiente em uma conta e provisionar sua infraestrutura em outra conta
Para criar e provisionar um ambiente a partir de uma única conta de gerenciamento, configure uma conta de ambiente para um ambiente que você planeja criar.
**Inicie na conta do ambiente e crie uma conexão.**
Na conta de ambiente, crie uma função AWS Proton de serviço com escopo reduzido somente às permissões necessárias para provisionar os recursos de infraestrutura do seu ambiente. Para obter mais informações, consulte [AWS Proton função de serviço para provisionamento usando CloudFormation](security_iam_service-role-policy-examples.md#proton-svc-role).
Em seguida, crie e envie uma solicitação de conexão de conta de ambiente para sua conta de gerenciamento. Quando a solicitação for aceita, AWS Proton pode usar a função do IAM associada que permite o provisionamento de recursos do ambiente na conta do ambiente associada.
**Na conta de gerenciamento, aceite ou rejeite a conexão da conta do ambiente.**
Na conta de gerenciamento, aceite ou rejeite a solicitação de conexão da conta do ambiente. Você *não pode* excluir uma conexão de conta de ambiente da sua conta de gerenciamento.
Se você aceitar a solicitação, eles AWS Proton poderão usar a função do IAM associada que permite o provisionamento de recursos na conta do ambiente associada.
Os recursos da infraestrutura do ambiente são provisionados na conta do ambiente associada. Você só pode usar AWS Proton APIs para acessar e gerenciar seu ambiente e seus recursos de infraestrutura, a partir da sua conta de gerenciamento. Para obter mais informações, consulte [Criar um ambiente em uma conta e provisionar em outra conta](ag-create-env.md#ag-create-env-deploy-other) e [Atualizar um ambiente](ag-env-update.md).
Depois de rejeitar uma solicitação, você *não poderá* aceitar nem usar a conexão da conta de ambiente rejeitada.
**nota**
Você *não pode* rejeitar uma conexão de conta de ambiente conectada a um ambiente. Para rejeitar a conexão da conta do ambiente, você deve primeiro excluir o ambiente associado.
**Na conta do ambiente, acesse os recursos de infraestrutura provisionados.**
Na conta do ambiente, você pode visualizar e acessar os recursos de infraestrutura provisionados. Por exemplo, você pode usar ações de CloudFormation API para monitorar e limpar pilhas, se necessário. Você não pode usar as ações da AWS Proton API para acessar ou gerenciar o AWS Proton ambiente usado para provisionar os recursos de infraestrutura.
Na conta do ambiente, você pode excluir as conexões da conta do ambiente que você criou na conta do ambiente. Você *não pode* aceitá-los ou rejeitá-los. Se você excluir uma conexão de conta de ambiente que está sendo usada por um AWS Proton ambiente, AWS Proton não poderá gerenciar os recursos de infraestrutura do ambiente até que uma nova conexão de ambiente seja aceita para a conta do ambiente e o ambiente nomeado. Você é responsável por limpar os recursos provisionados que permanecem sem uma conexão com o ambiente.
## Use o console ou a CLI para gerenciar as conexões da conta do ambiente
Você pode usar o console ou a CLI para criar e gerenciar as conexões da conta do ambiente.
------
#### [ Console de gerenciamento da AWS ]
**Use o console para criar uma conexão de conta do ambiente e enviar uma solicitação à conta de gerenciamento, conforme mostrado nas próximas etapas.**
1. Escolha um nome para o ambiente que você planeja criar em sua conta de gerenciamento ou escolha o nome de um ambiente existente que exija uma conexão de conta de ambiente.
1. Em uma conta de ambiente, no [console do AWS Proton](https://console.aws.amazon.com//proton/), escolha **Conexões de conta de ambiente** no painel de navegação.
1. Na página **Conexões da conta de ambiente**, escolha **Solicitar conexão**.
**nota**
Verifique a ID da conta que está listada no título da página de **Conexão da conta de ambiente**. Verifique se ele corresponde ao ID da conta de ambiente na qual você deseja que seu ambiente nomeado seja provisionado.
1. Na página **Solicitação de conexão**:
1. Na seção **Conectar à conta de gerenciamento**, insira a **ID da conta de gerenciamento** e o **Nome de ambiente** que inseriu na etapa 1.
1. Na seção **Função de ambiente**, escolha **Nova função de serviço** e cria AWS Proton automaticamente uma nova função para você. Ou selecione **Perfil de serviço existente** e o nome do perfil de serviço que você criou anteriormente.
**nota**
A função criada AWS Proton automaticamente para você tem amplas permissões. Recomendamos que você defina o perfil de acordo com as permissões necessárias para provisionar os recursos de infraestrutura do seu ambiente. Para obter mais informações, consulte [AWS Proton função de serviço para provisionamento usando CloudFormation](security_iam_service-role-policy-examples.md#proton-svc-role).
1. (Opcional) Na seção **Tags**, escolha **Adicionar nova tag** para criar uma tag gerenciada pelo cliente para sua conexão com a conta do ambiente.
1. Escolha **Solicitar conexão**.
1. Sua solicitação aparece como pendente na tabela de **conexões de ambiente enviadas para contas de gerenciamento** e um modal informa como aceitar a solicitação da conta de gerenciamento.
**Aceite ou rejeite uma solicitação de conexão da conta do ambiente.**
1. Em uma conta de gerenciamento, no [console do AWS Proton](https://console.aws.amazon.com//proton/), escolha **Conexões de conta de ambiente** no painel de navegação.
1. Na página **Conexões de conta de ambiente**, na tabela **Solicitações de conexão de conta** de ambiente, escolha a solicitação de conexão de ambiente a ser aceita ou rejeitada.
**nota**
Verifique a ID da conta que está listada no título da página de **Conexão da conta de ambiente**. Verifique se ele corresponde à ID da conta de gerenciamento associada à conexão da conta de ambiente a ser rejeitada. Depois que você rejeitar essa conexão de conta de ambiente, *não poderá* aceitar ou usar a conexão de conta de ambiente rejeitada.
1. Escolha **Rejeitar** ou **Aceitar**.
+ Se você selecionou **Rejeitar**, o status mudará de *pendente* para *rejeitado*.
+ Se você selecionou **Aceitar**, o status mudará de *pendente* para *conectado*.
**Excluir uma conexão de conta de ambiente**
1. Em uma conta de ambiente, no [console do AWS Proton](https://console.aws.amazon.com//proton/), escolha **Conexões de conta de ambiente** no painel de navegação.
**nota**
Verifique a ID da conta que está listada no título da página de **Conexão da conta de ambiente**. Verifique se ele corresponde à ID da conta de gerenciamento associada à conexão da conta de ambiente a ser rejeitada. Depois de excluir essa conexão de conta de ambiente, *não é AWS Proton possível* gerenciar os recursos de infraestrutura de ambiente na conta de ambiente. Ele só pode gerenciá-lo depois que uma nova conexão de conta de ambiente para a conta de ambiente e o ambiente nomeado forem aceitos pela conta de gerenciamento.
1. Na página **Conexões da conta de ambiente**, na seção **Solicitações enviadas para se conectar à conta de gerenciamento**, escolha **Excluir**.
1. Você será solicitado a confirmar que você deseja excluir esses objetos. Escolha **Excluir**.
------
#### [ AWS CLI ]
Escolha um nome para o ambiente que você planeja criar em sua conta de gerenciamento ou escolha o nome de um ambiente existente que exija uma conexão de conta de ambiente.
**Crie uma conexão de conta de ambiente em uma conta de ambiente.**
Execute este comando: .
```
$ aws proton create-environment-account-connection \
--environment-name "{{simple-env-connected}}" \
--role-arn "arn:aws:iam::{{222222222222}}:role/service-role/{{env-account-proton-service-role}}" \
--management-account-id "{{111111111111}}"
```
Resposta:
```
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "PENDING"
}
}
```
**Aceite ou rejeite uma conexão de conta de ambiente em uma conta de gerenciamento, conforme mostrado no comando e na resposta a seguir.**
**nota**
Se você rejeitar essa conexão de conta de ambiente, não poderá aceitar ou usar a conexão de conta de ambiente rejeitada.
Se você especificar **Rejeitar**, o status mudará de *pendente* para *rejeitado*.
Se você especificar **Aceitar**, o status mudará de *pendente* para *conectado*.
Execute o comando a seguir para aceitar a conexão da conta do ambiente:
```
$ aws proton accept-environment-account-connection \
--id "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
```
Resposta:
```
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
```
Execute o comando a seguir para rejeitar a conexão da conta do ambiente:
```
$ aws proton reject-environment-account-connection \
--id "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
```
Resposta:
```
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"status": "REJECTED",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-reject",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
}
}
```
**Visualizar as conexões de conta de um ambiente. Você pode *obter* ou *listar* conexões de contas do ambiente**.
Execute o seguinte comando get:
```
$ aws proton get-environment-account-connection \
--id "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
```
Resposta:
```
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
```
**Exclua uma conexão de conta de ambiente em uma conta de ambiente.**
**nota**
Se você excluir essa conexão de conta de ambiente, AWS Proton não poderá gerenciar os recursos de infraestrutura de ambiente na conta de ambiente até que uma nova conexão de ambiente tenha sido aceita para a conta de ambiente e o ambiente nomeado. Você é responsável por limpar os recursos provisionados que permanecem sem uma conexão com o ambiente.
Execute este comando: .
```
$ aws proton delete-environment-account-connection \
--id "{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}}"
```
Resposta:
```
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
```
------