As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Planeje a implantação
Esta seção descreve o [custo](cost.md), a [segurança](security.md), [as cotas](quotas.md) e outras considerações antes da implantação da solução.
## Regiões da AWS compatíveis
Dependendo dos valores dos parâmetros de entrada do modelo que você define, essa solução requer recursos diferentes. Esses recursos (listados na tabela a seguir) podem não estar disponíveis em todas as regiões da AWS. Portanto, você deve iniciar essa solução em uma região da AWS onde esses serviços estejam disponíveis. Para obter a disponibilidade mais atual dos serviços da AWS por região, consulte a [Lista de serviços regionais da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
| | AWS WAF Web ACL | AWS Glue | Amazon Athena | Amazon Kinesis Data Firehose |
| --- | --- | --- | --- | --- |
| **Endpoint type** | | | | |
| CloudFront | ✓ | | | |
| Application Load Balancer (ALB) | ✓ | | | |
| **Ative a proteção contra inundação HTTP** | | | | |
| sim - analisador de log AWS Lambda | | | | ✓ |
| sim - Analisador de log Amazon Athena | | ✓ | ✓ | ✓ |
| **Ative a proteção do scanner e da sonda** | | | | |
| sim - Analisador de log Amazon Athena | | ✓ | ✓ | |
**nota**
Se você escolher `CloudFront` como seu **Endpoint**, deverá implantar a solução na região Leste dos EUA (Norte da Virgínia) (`us-east-1`).
# Custo
Você é responsável pelo custo dos serviços da AWS usados ao executar a solução Security Automations for AWS WAF. O custo total da execução dessa solução depende da proteção ativada e da quantidade de dados ingeridos, armazenados e processados.
Recomendamos criar um [orçamento](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-create.html) por meio do [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) para ajudar a gerenciar custos. Para obter detalhes completos, consulte a página de preços de cada serviço da AWS que você usou nesta solução.
As tabelas a seguir são exemplos de detalhamento de custos para executar essa solução na região Leste dos EUA (Norte da Virgínia) (excluindo o nível gratuito da AWS). Os preços estão sujeitos a alterações.
**Exemplo 1: Ative a proteção de lista de reputação, a proteção contra bots incorretos, o analisador de registros AWS Lambda para proteção contra inundações de HTTP e a proteção de scanners e sondas**
| Serviço da AWS | Dimensões/mês | Custo [USD] |
| --- | --- | --- |
| Amazon Data Firehose | 100 GB | \$1\$12,90 |
| Amazon S3 | 100 GB | \$1\$12,30 |
| AWS Lambda | 128 MB: 3 funções, 1 milhão de invocações e duração média de 500 milissegundos por execução do Lambda 512 MB: 2 funções, 1 milhão de invocações e duração média de 500 milissegundos por execução do Lambda | \$1\$15,40 |
| ACL da web do AWS WAF | 1 | \$15,00 |
| Regra do AWS WAF | 4 | \$14,00 |
| Solicitação do AWS WAF | 1 milhão | \$10,60 |
| **Total** | | **\$1\$120,60 por mês** |
**Exemplo 2: Ative a proteção da lista de reputação, a proteção contra bots incorretos, o analisador de registros do Amazon Athena para proteção contra inundações de HTTP e a proteção de scanners e sondas**
| Serviço da AWS | Dimensões/mês | Custo [USD] |
| --- | --- | --- |
| Amazon Data Firehose | 100 GB | \$1\$12,90 |
| Amazon S3 | 100 GB | \$1\$12,30 |
| AWS Lambda | 128 MB: 3 funções, 1 milhão de invocações e duração média de 500 milissegundos por execução do Lambda 512 MB: 2 funções, 7560 invocações e duração média de 500 milissegundos por execução do Lambda | \$1\$11,26 |
| Amazon Athena | 1,2 milhão de CloudFront acessos de objetos ou 1,2 milhão de solicitações de ALB por dia que geram um registro de registro de aproximadamente 500 bytes por ocorrência ou solicitação | \$1\$14,32 |
| ACL da web do AWS WAF | 1 | \$15,00 |
| Regra do AWS WAF | 4 | \$14,00 |
| Solicitação do AWS WAF | 1 milhão | \$10,60 |
| **Total** | | ****\$1\$120,38 por mês**** |
**Exemplo 3: Ativar a retenção de IP para conjuntos de IP permitidos e negados**
| Serviço da AWS | Dimensões/mês | Custo [USD] |
| --- | --- | --- |
| Amazon DynamoDB | 1K gravações e 1 MB de armazenamento de dados | \$1\$10,00 |
| AWS Lambda | 128 MB: 1 função, 2 mil invocações e duração média de 500 milissegundos por execução do Lambda 512 MB: 1 função, 2 mil invocações e duração média de 500 milissegundos por execução do Lambda | \$1\$10,01 |
| Amazon CloudWatch | Eventos 2K | \$1\$10,00 |
| AWS WAF Web ACL | 1 | \$15,00 |
| Regra do AWS WAF | 2 | \$12,00 |
| Solicitação do AWS WAF | 1 milhão | \$10,60 |
| **Total** | | ****\$1\$17,61 por mês**** |
## Estimativa de custo dos CloudWatch registros
Alguns serviços da AWS usados nessa solução, como o Lambda, geram CloudWatch registros. Esses registros incorrem em [cobranças](https://aws.amazon.com/cloudwatch/pricing/). Recomendamos excluir ou arquivar registros para reduzir o custo. Para obter detalhes sobre o arquivamento de registros, consulte [Exportação de dados de log para o Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) S3 no Guia do usuário do * CloudWatch Amazon Logs*.
Se você optar por usar o analisador de log Athena na instalação, essa solução agenda uma consulta para ser executada no AWS WAF ou nos logs de acesso ao aplicativo em seu (s) bucket (s) do Amazon S3, conforme configurado. Você é cobrado com base na quantidade de dados escaneados por cada consulta. A solução aplica particionamento a registros e consultas para minimizar os custos. Por padrão, a solução move os registros de acesso ao aplicativo de sua localização original no Amazon S3 para uma estrutura de pastas particionadas. Você também pode reter o original, mas será cobrado pelo armazenamento de registros duplicados. Essa solução usa [grupos de trabalho](https://docs.aws.amazon.com/athena/latest/ug/manage-queries-control-costs-with-workgroups.html) para segmentar cargas de trabalho, e você pode configurar ambos para gerenciar o acesso e os custos das consultas. Consulte [Estimativa de custo do Athena](#cost-estimate-of-athena) para obter um exemplo de cálculo de estimativa de custo. Para obter mais informações, consulte os preços [do Amazon Athena](https://aws.amazon.com/athena/pricing/).
## Estimativa de custo de Athena
Se você usar a opção do analisador de log do Athena ao executar as regras **HTTP Flood Protection, Scanner & Probe Protection** **ou **Bad Bot** Protection**, você será cobrado pelo uso do Athena. Por padrão, cada consulta do Athena é executada a cada cinco minutos e verifica as últimas quatro horas de dados. A solução aplica o particionamento aos registros e às consultas do Athena para minimizar os custos. Você pode configurar o número de horas de dados que uma consulta verifica alterando o valor do parâmetro do modelo **WAF Block Period**. No entanto, aumentar a quantidade de dados digitalizados provavelmente aumentará o custo do Athena.
**dica**
Veja a seguir um exemplo de cálculo CloudFront de custo de registros:
Em média, cada CloudFront ocorrência pode gerar cerca de 500 bytes de dados.
Se houver 1,2 milhão de CloudFront objetos atingidos por dia, haverá 200 mil (1,2 M/6) acessos a cada quatro horas, supondo que os dados sejam ingeridos em uma taxa consistente. Considere seus padrões reais de tráfego ao calcular seu custo.
`[500 bytes of data] * [200K hits per four hours] = [an average 100 MB (0.0001TB) data scanned per query]`
O Athena cobra \$15,00 por TB de dados digitalizados.
`[0.0001 TB] * [$5] = [$0.0005 per query scan]`
A consulta do Athena é executada a cada cinco minutos, ou seja, 12 execuções por hora.
`[12 runs] * [24 hours] = [288 runs per day]`
`[$0.0005 per query scan] * [288 runs per day] * [30 days] = [$4.32 per month]`
Os custos reais variam de acordo com os padrões de tráfego do seu aplicativo. Para obter mais informações, consulte os preços [do Amazon Athena](https://aws.amazon.com/athena/pricing/).
# Segurança
Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) reduz seus encargos operacionais, pois a AWS opera, gerencia e controla os componentes, incluindo o sistema operacional do host, a camada de virtualização e a segurança física das instalações onde os serviços operam. Para obter mais informações sobre segurança da AWS, visite [Segurança da Nuvem AWS](https://aws.amazon.com/security/).
## Perfis do IAM
Com as funções do IAM, você pode atribuir acesso, políticas e permissões granulares a serviços e usuários na nuvem da AWS. Essa solução cria funções do IAM com menos privilégios, e essas funções concedem aos recursos da solução as permissões necessárias.
## Dados
Todos os dados armazenados nos buckets do Amazon S3 e nas tabelas do DynamoDB têm criptografia em repouso. Os dados em trânsito com o Firehose também são criptografados.
## Capacidades de proteção
Os aplicativos da Web são vulneráveis a uma variedade de ataques. Esses ataques incluem solicitações especialmente criadas para explorar uma vulnerabilidade ou assumir o controle de um servidor; ataques volumétricos projetados para derrubar um site; ou bots e raspadores maliciosos programados para coletar e roubar conteúdo da web.
Essa solução é usada CloudFormation para configurar as regras do AWS WAF, incluindo grupos de regras e regras personalizadas do AWS Managed Rules, para bloquear os seguintes ataques comuns:
+ **AWS Managed Rules** — Esse serviço gerenciado oferece proteção contra vulnerabilidades comuns de aplicativos ou outros tráfegos indesejados. Essa solução inclui grupos de regras de [reputação de IP gerenciado pela AWS, grupos de regras](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html) [de linha de base gerenciados pela AWS e grupos de regras](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html) [específicos de casos de uso do AWS Managed](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html). Você tem a opção de selecionar um ou mais grupos de regras para sua ACL da web, até a cota máxima da unidade de capacidade da ACL da web (WCU).
+ **Injeção de SQL** - Os atacantes inserem código SQL malicioso em solicitações da web para extrair dados do seu banco de dados. Projetamos essa solução para bloquear solicitações da web que contêm código SQL potencialmente malicioso.
+ **XSS** - Os atacantes usam vulnerabilidades em um site benigno como um veículo para injetar scripts maliciosos do site do cliente no navegador da web de um usuário legítimo. Projetamos isso para inspecionar elementos comumente explorados das solicitações recebidas para identificar e bloquear ataques XSS.
+ **Inundações de HTTP** - servidores Web e outros recursos de back-end correm o risco de ataques DDo S, como inundações de HTTP. Essa solução invoca automaticamente uma regra baseada em taxas quando as solicitações da web de um cliente excedem uma cota configurável. Como alternativa, você pode impor essa cota processando os registros do AWS WAF usando uma função Lambda ou uma consulta do Athena.
+ **Scanners e sondas** - Fontes maliciosas escaneiam e investigam aplicativos da Web voltados para a Internet em busca de vulnerabilidades, enviando uma série de solicitações que geram códigos de erro HTTP 4xx. Você pode usar esse histórico para ajudar a identificar e bloquear endereços IP de origem mal-intencionados. Essa solução cria uma função Lambda CloudFront ou consulta Athena que analisa automaticamente nossos registros de acesso ao ALB, conta o número de solicitações inválidas de endereços IP de origem exclusivos por minuto e atualiza o AWS WAF para bloquear outras verificações de endereços que atingiram a cota de erro definida.
+ **Origens conhecidas dos atacantes (listas de reputação de IP)** - Muitas organizações mantêm listas de reputação de endereços IP operados por atacantes conhecidos, como spammers, distribuidores de malware e botnets. Essa solução aproveita as informações dessas listas de reputação para ajudá-lo a bloquear solicitações de endereços IP maliciosos. Além disso, essa solução bloqueia invasores identificados por grupos de regras de reputação de IP com base na inteligência interna de ameaças da Amazon.
+ **Bots e scrapers** - Os operadores de aplicativos da web acessíveis ao público precisam confiar que os clientes que acessam seu conteúdo se identificam com precisão e que usam os serviços conforme pretendido. No entanto, alguns clientes automatizados, como raspadores de conteúdo ou bots mal-intencionados, se apresentam erroneamente para contornar as restrições. Essa solução ajuda você a identificar e bloquear bots e raspadores mal-intencionados.
# Cotas
Service quotas, ou limites, representam o máximo de recursos ou operações de serviço permitidos em uma conta AWS.
## Cotas para serviços da AWS nesta solução
Verifique se você tem cota suficiente para cada um dos [serviços implementados nessa solução](architecture-details.md#aws-services-in-this-solution). Para obter mais informações, consulte as [cotas de serviços da AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html). Para ver as cotas de serviço de todos os serviços da AWS na documentação sem trocar de página, veja as informações na página de [endpoints e cotas do serviço](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) no PDF.
## Cotas do AWS WAF
O AWS WAF pode bloquear no máximo 10.000 intervalos de endereços IP na notação Classless Inter-Domain Routing (CIDR) por condição de correspondência de IP. Cada lista criada por essa solução está sujeita a essa cota. Para obter mais informações, consulte as cotas do [AWS WAF.](https://docs.aws.amazon.com/waf/latest/developerguide/limits.html) A partir da versão 3.0, essa solução cria dois conjuntos de IP para anexar a cada regra, um para IPv4 e outro para IPv6.
O AWS WAF permite no máximo uma solicitação por segundo, por conta, por região da AWS para chamadas de API para qualquer indivíduo `Create` ou `Update` ação. `Put` Se você fizer essas chamadas de API fora da solução, poderá encontrar um problema de limitação da API. Para evitar o problema, recomendamos evitar a execução de outros aplicativos que façam essas chamadas de API na mesma conta e região em que essa solução está implantada.
# Considerações de implantação
As seções a seguir fornecem restrições e considerações para implementar essa solução.
## Regras do AWS WAF
A ACL da web que essa solução gera foi projetada para oferecer proteção abrangente para aplicativos da web. A solução fornece um conjunto de regras gerenciadas da AWS e regras personalizadas que você pode adicionar à ACL da web. Para incluir uma regra, escolha `yes` os parâmetros relevantes ao iniciar a CloudFormation pilha. Consulte [a Etapa 1. Inicie a pilha](step-1.-launch-the-stack.md) para obter a lista de parâmetros.
**nota**
A out-of-box solução não é compatível com o [AWS Firewall Manager](https://aws.amazon.com/firewall-manager). Se você quiser usar as regras no Firewall Manager, recomendamos que você aplique personalizações ao [código-fonte](https://github.com/aws-solutions/aws-waf-security-automations).
## Registro de tráfego da Web ACL
Se você criar a pilha em uma região da AWS diferente do Leste dos EUA (Norte da Virgínia) e definir o **endpoint** como`CloudFront`, deverá definir **Ativar proteção contra inundação HTTP** como ou. `no` `yes - AWS WAF rate based rule`
As outras duas opções (`yes - AWS Lambda log parser`e`yes - Amazon Athena log parser`) exigem a ativação dos registros do AWS WAF em uma ACL da web que é executada em todos os pontos de presença da AWS, e isso não é suportado fora do Leste dos EUA (Norte da Virgínia). Para obter mais informações sobre como registrar o tráfego do Web ACL, consulte o guia do desenvolvedor do [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html).
## Manipulação de grandes dimensões para componentes de solicitação
O AWS WAF não oferece suporte à inspeção de conteúdo superdimensionado para o corpo, cabeçalhos ou cookies do componente de solicitação da web. Ao escrever uma declaração de regra que inspeciona um desses tipos de componentes de solicitação, você pode escolher uma dessas opções para dizer ao AWS WAF o que fazer com essas solicitações:
+ `yes`(continuar) - Inspecione o componente da solicitação normalmente de acordo com os critérios de inspeção da regra. O AWS WAF inspeciona o conteúdo do componente da solicitação que está dentro das limitações de tamanho. Essa é a opção padrão usada na solução.
+ `yes - MATCH` - tratar a solicitação da Web como correspondente à instrução de regra. O AWS WAF aplica a ação da regra à solicitação sem avaliá-la de acordo com os critérios de inspeção da regra. Para uma regra com `Block` ação, isso bloqueia a solicitação com o componente de tamanho grande.
+ `yes - NO_MATCH`- Trate a solicitação da web como se não correspondesse à declaração da regra, sem avaliá-la de acordo com os critérios de inspeção da regra. O AWS WAF continua sua inspeção da solicitação da web usando o resto das regras na ACL da web, como faria com qualquer regra não correspondente.
Para obter mais informações, consulte [Como lidar com componentes de solicitações web de grande porte no AWS](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-oversize-handling.html) WAF.
## Implantações de várias soluções
Você pode implantar a solução várias vezes na mesma conta e região. Você deve usar um nome de CloudFormation pilha exclusivo e um nome de bucket do Amazon S3 para cada implantação. Cada implantação exclusiva incorre em cobranças adicionais e está sujeita às cotas do [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/limits.html) por conta, por região.
## Permissões mínimas de função para implantação (opcional)
Os clientes podem criar manualmente uma função do IAM com as permissões mínimas necessárias para implantação:
+ Permissões do WAF
```
{
"Effect": "Allow",
"Action": [
"wafv2:CreateWebACL",
"wafv2:UpdateWebACL",
"wafv2:DeleteWebACL",
"wafv2:GetWebACL",
"wafv2:ListWebACLs",
"wafv2:CreateIPSet",
"wafv2:UpdateIPSet",
"wafv2:DeleteIPSet",
"wafv2:GetIPSet",
"wafv2:AssociateWebACL",
"wafv2:DisassociateWebACL",
"wafv2:PutLoggingConfiguration",
"wafv2:DeleteLoggingConfiguration",
"wafv2:ListWebACLs",
"wafv2:ListIPSets",
"wafv2:ListTagsForResource"
],
"Resource": [
"arn:aws:wafv2:*:*:regional/webacl/*",
"arn:aws:wafv2:*:*:regional/ipset/*",
"arn:aws:wafv2:*:*:global/webacl/*",
"arn:aws:wafv2:*:*:global/ipset/*"
]
}
```
+ Permissões Lambda
```
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode",
"lambda:UpdateFunctionConfiguration",
"lambda:AddPermission",
"lambda:RemovePermission"
],
"Resource": "arn:aws:lambda:*:*:function:*"
}
```
+ Permissões do Firehose
```
{
"Effect": "Allow",
"Action": [
"firehose:CreateDeliveryStream",
"firehose:DeleteDeliveryStream",
"firehose:DescribeDeliveryStream",
"firehose:StartDeliveryStreamEncryption",
"firehose:StopDeliveryStreamEncryption",
"firehose:UpdateDestination"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/*"
}
```
+ Permissões do S3
```
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucketPolicy",
"s3:GetBucketAcl",
"s3:GetBucketPolicy",
"s3:GetObject",
"s3:PutBucketAcl",
"s3:PutBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:PutBucketVersioning",
"s3:PutEncryptionConfiguration",
"s3:PutObject",
"s3:PutBucketTagging",
"s3:PutLifecycleConfiguration",
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:PutBucketLogging",
"s3:GetBucketLogging"
],
"Resource": "arn:aws:s3:::*"
}
```
+ Permissões do Athena
```
{
"Effect": "Allow",
"Action": [
"athena:CreateWorkGroup",
"athena:DeleteWorkGroup",
"athena:GetWorkGroup",
"athena:UpdateWorkGroup",
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/WAF*"
}
```
+ Permissões do Glue
```
{
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:DeleteDatabase",
"glue:GetDatabase",
"glue:GetDatabases",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:DeleteTable",
"glue:GetTable",
"glue:GetTables",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:userDefinedFunction/*"
]
}
```
+ CloudWatch Permissões de registros
```
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"logs:PutRetentionPolicy",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/lambda/*",
"arn:aws:logs:*:*:log-group:*",
"arn:aws:logs:*:*:log-group:/aws/kinesisfirehose/*"
]
}
```
+ CloudWatch Permissões
```
{
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:GetDashboard",
"cloudwatch:ListDashboards",
"cloudwatch:PutDashboard",
"cloudwatch:PutMetricData"
],
"Resource": "*"
}
```
+ Permissões do SNS
```
{
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:DeleteTopic",
"sns:Subscribe",
"sns:Unsubscribe",
"sns:SetTopicAttributes"
],
"Resource": "arn:aws:sns:*:*:*"
}
```
+ Permissões do DynamoDB
```
{
"Effect": "Allow",
"Action": [
"dynamodb:CreateTable",
"dynamodb:DeleteTable",
"dynamodb:DescribeTable",
"dynamodb:PutItem",
"dynamodb:GetItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem"
],
"Resource": "arn:aws:dynamodb:*:*:table/*"
}
```
+ CloudFormation Permissões
```
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack",
"cloudformation:ListStacks"
],
"Resource": "arn:aws:cloudformation:*:*:stack/*/*"
}
```
+ Permissões de registro de aplicativos do Service Catalog
```
{
"Effect": "Allow",
"Action": [
"servicecatalog:CreateApplication",
"servicecatalog:DeleteApplication",
"servicecatalog:GetApplication",
"servicecatalog:TagResource",
"servicecatalog:CreateAttributeGroup",
"servicecatalog:DeleteAttributeGroup",
"servicecatalog:GetAttributeGroup",
"servicecatalog:AssociateAttributeGroup",
"servicecatalog:DisassociateAttributeGroup",
"servicecatalog:AssociateResource",
"servicecatalog:DisassociateResource"
],
"Resource": "arn:aws:servicecatalog:*:*:*"
}
```
+ Permissões do X-Ray
```
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords"
],
"Resource": "*"
}
```
+ Permissões do IAM
```
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRoles",
"iam:PassRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/*"
}
```
+ EventBridge Permissões
```
{
"Effect": "Allow",
"Action": [
"events:PutTargets",
"events:RemoveTargets",
"events:DescribeRule",
"events:EnableRule",
"events:ListRules",
"events:PutRule",
"events:DeleteRule",
"events:ListEventSources",
"events:DescribeEventSource",
"events:ActivateEventSource",
"events:DeactivateEventSource"
],
"Resource": "arn:aws:events:*:*:rule/*"
}
```