As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como o re:Post Private funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao AWS re:Post Private, você deve entender quais recursos do IAM estão disponíveis para uso com o re:Post Private. Para ter uma visão de alto nível de como o re:Post Private e outros AWS serviços funcionam com o IAM, consulte [AWS os serviços que funcionam com o IAM no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) usuário do *IAM*.
## Re:post Políticas baseadas em identidade privada
Com as políticas baseadas em identidade do IAM, você pode especificar ações permitidas ou negadas. O re:Post Private suporta ações específicas. Para saber mais sobre os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Manual do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política em re:Post Private usam o seguinte prefixo antes da ação:. `repostspace:` Por exemplo, para conceder permissão a alguém para executar a operação da `CreateSpace` API re:post Private, você inclui a `repostspace:CreateSpace` ação na política dessa pessoa. As declarações de política devem incluir um `NotAction` elemento `Action` ou. O re:Post Private define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"repostspace:CreateSpace",
"repostspace:DeleteSpace"
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "repostspace:Describe*"
```
*Para ver uma lista de ações privadas do re:Post, consulte [Ações definidas por re:Post Private](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkdocs.html#amazonworkdocs-actions-as-permissions) no Guia do usuário do IAM.*
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
### Chaves de condição
O re:post Private não fornece nenhuma chave de condição específica do serviço, mas suporta o uso de chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
### Exemplos
Para ver exemplos de políticas baseadas em identidade privada do re:POST, consulte. [AWS re:Post Exemplos de políticas baseadas em identidade privada](security-iam-policy-examples.md)
## Re:post Políticas baseadas em recursos privados
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as políticas de confiança de perfil do IAM e as políticas de bucket do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou AWS serviços. Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
O re:post Private não oferece suporte a políticas baseadas em recursos.
## Autorização baseada em tags do
O re:Post Private suporta a marcação de recursos ou o controle de acesso com base em tags. Para obter mais informações, consulte [Controle do acesso aos recursos da AWS usando tags](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_tags.html).
## re:postar funções privadas do IAM
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usando credenciais temporárias com re:Post Private
Recomendados fortemente usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
O re:POST Private suporta o uso de credenciais temporárias.
## Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação para você. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
## Perfis de serviço
Esse recurso permite que um serviço assuma uma [função de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) para você. Essa função permite que o serviço acesse recursos em outros serviços para concluir uma ação para você. Para obter mais informações, consulte [Criação de uma função para delegar permissões a um serviço da AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-service.html). Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
# Usando funções vinculadas ao serviço para re:Post Private
O AWS re:Post Private usa funções vinculadas a [serviços AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao re:Post Private. As funções vinculadas ao serviço são predefinidas pelo re:Post Private e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do re:Post Private porque você não precisa adicionar manualmente as permissões necessárias. O re:Post Private define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o re:Post Private pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para re:Post Private
re:Post Private usa a função vinculada ao serviço chamada **AWSServiceRoleForrePostPrivate**. re:Post Private usa essa função vinculada ao serviço para publicar dados em. CloudWatch
A função AWSService RoleForrePostPrivate vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `repostspace.amazonaws.com`
A política de permissões de função nomeada `AWSrePostPrivateCloudWatchAccess` permite que o re:Post Private conclua as seguintes ações nos recursos especificados:
+ Ação sobre`cloudwatch`: `PutMetricData`
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
Para obter mais informações, consulte [AWSrePostPrivateCloudWatchAccess](security-with-iam-managed-policy.md#cloudwatch-metric-manpol).
## Criação de uma função vinculada ao serviço para re:Post Private
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria seu primeiro re:Post privado na, na ou na AWS API Console de gerenciamento da AWS AWS CLI, o re:Post Private cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o serviço re:Post Private antes de 1º de dezembro de 2023, quando ele começou a oferecer suporte a funções vinculadas ao serviço, o re:Post Private criou a função em sua conta. `AWSServiceRoleForrePostPrivate` Para saber mais, consulte [Uma nova função apareceu no meu Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria seu primeiro re:POST privado, o re:post Private cria a função vinculada ao serviço para você novamente.
Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do `repostspace.amazonaws.com` serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
## Editando uma função vinculada ao serviço para re:Post Private
O re:post Private não permite que você edite a função vinculada ao `AWSServiceRoleForrePostPrivate` serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para re:Post Private
Você não precisa excluir manualmente a função `AWSServiceRoleForrePostPrivate`. Quando você exclui seu re:Post privado na, na ou na AWS API Console de gerenciamento da AWS AWS CLI, o re:Post Private exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI, o ou a AWS API para excluir manualmente a função vinculada ao serviço.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForrePostPrivate vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas ao serviço re:Post Private
O re:Post Private oferece suporte ao uso de funções vinculadas ao serviço AWS nas regiões em que o serviço está disponível.
****
| Nome da região | Identidade da região | Support em re:Post Private |
| --- | --- | --- |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Não |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Não |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| África (Cidade do Cabo) | af-south-1 | Não |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Não |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Não |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Não |
| Ásia-Pacífico (Osaka) | ap-northeast-3 | Não |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Não |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Não |
| Canadá (Central) | ca-central-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Não |
| Europa (Milão) | eu-south-1 | Não |
| Europa (Paris) | eu-west-3 | Não |
| Europa (Estocolmo) | eu-north-1 | Não |
| Oriente Médio (Barém) | me-south-1 | Não |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Não |
| América do Sul (São Paulo) | sa-east-1 | Não |
# AWS re:Post Exemplos de políticas baseadas em identidade privada
**nota**
Para maior segurança, crie usuários federados em vez de usuários do IAM sempre que possível.
Por padrão, AWS Identity and Access Management usuários e funções não têm permissão para criar ou modificar recursos privados do AWS re:Post. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Permitir que os usuários visualizem suas próprias permissões](#security-with-iam-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos privados do re:POST em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Políticas em linha
Políticas em linha são políticas que você cria e gerencia. Você pode incorporar políticas em linha diretamente em um usuário, grupo ou função. Os exemplos de políticas a seguir mostram como atribuir permissões para realizar ações privadas do AWS re:POST. Para obter informações gerais sobre políticas em linha, consulte [Gerenciamento de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) no *Guia do usuário do AWS IAM*. Você pode usar o Console de gerenciamento da AWS, AWS Command Line Interface (AWS CLI) ou a AWS Identity and Access Management API para criar e incorporar políticas em linha.
**Topics**
+ [Acesso somente para leitura ao re:Post Private](#read-only-access)
+ [Acesso total ao re:Post Private](#full-access)
## Acesso somente para leitura ao re:Post Private
A política a seguir concede acesso de leitura a um usuário para o IAM Identity Center e o console privado re:Post. Essa política permite que o usuário execute ações privadas do re:Post que são somente para leitura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"sso:GetSSOStatus",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"repostspace:GetSpace",
"repostspace:ListSpaces",
"repostspace:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Acesso total ao re:Post Private
A política a seguir concede acesso total a um usuário para o IAM Identity Center e o console privado re:POST. Essa política permite que o usuário execute todas as ações privadas do re:POST.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"sso:GetSSOStatus",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"repostspace:*"
],
"Resource": "*"
}
]
}
```
------
# AWS políticas gerenciadas para AWS re:Post Private
O uso de políticas AWS gerenciadas facilita a adição de permissões a usuários, grupos e funções do que a criação de políticas por conta própria. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Use políticas AWS gerenciadas para começar rapidamente. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços podem adicionar permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violam suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política `ReadOnlyAccess` AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**Topics**
+ [AWS política gerenciada: AWSRepost SpaceSupportOperationsPolicy](#support-case-manpol)
+ [AWS política gerenciada: AWSre PostPrivateCloudWatchAccess](#cloudwatch-metric-manpol)
+ [AWS re:Post Atualizações privadas de políticas gerenciadas AWS](#security-iam-awsmanpol-updates)
## AWS política gerenciada: AWSRepost SpaceSupportOperationsPolicy
Essa política permite que o serviço AWS re:Post Private crie, gerencie e resolva Suporte casos criados por meio do aplicativo web re:Post Private.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RepostSpaceSupportOperations",
"Effect": "Allow",
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:DescribeCases",
"support:DescribeCommunications",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AWSre PostPrivateCloudWatchAccess
Essa política permite que o serviço re:Post Private publique dados em. CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchPublishMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/rePostPrivate",
"AWS/Usage"
]
}
}
}
]
}
```
------
## AWS re:Post Atualizações privadas de políticas gerenciadas AWS
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do re:Post Private desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico do documento](doc-history.md).
A tabela a seguir descreve atualizações importantes nas políticas gerenciadas do re:POST Private desde 26 de novembro de 2023.
| Alteração | Descrição | Data |
| --- | --- | --- |
| Nova política - [AWSrePostPrivateCloudWatchAccess](https://docs.aws.amazon.com//repostprivate/latest/caguide/security-with-iam-managed-policy.html#cloudwatch-metric-manpol) | Nova política gerenciada para publicação de dados em CloudWatch | 26 de novembro de 2023 |
| Nova política - [AWSRepostSpaceSupportOperationsPolicy](https://docs.aws.amazon.com//repostprivate/latest/caguide/security-with-iam-managed-policy.html#support-case-manpol) | Nova política gerenciada para o recurso AWS Support no AWS re:Post Private | 26 de novembro de 2023 |
| re:POST Private iniciou o rastreamento de alterações | O re:POST Private começou a monitorar as mudanças em suas AWS políticas gerenciadas | 26 de novembro de 2023 |
# Solução de problemas de identidade e acesso privados do AWS re:Post
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o re:Post Private e o IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação no re:Post Private](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha acessem meus Conta da AWS recursos privados do re:POST](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação no re:Post Private
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `repostPrivate:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: repostPrivate:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `repostPrivate:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para re:Post Private.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação no re:Post Private. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha acessem meus Conta da AWS recursos privados do re:POST
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o re:Post Private suporta esses recursos, consulte. [Como o re:Post Private funciona com o IAM](security_iam_service-with-iam.md)
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.