As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como AWS Transfer Family funciona com o IAM
<a name="security_iam_service-with-iam"></a>

Antes de usar o AWS Identity and Access Management (IAM) para gerenciar o acesso AWS Transfer Family, você deve entender quais recursos do IAM estão disponíveis para uso AWS Transfer Family. Para ter uma visão de alto nível de como AWS Transfer Family e outros AWS serviços funcionam com o IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.

**Topics**
+ [AWS Transfer Family políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies)
+ [AWS Transfer Family políticas baseadas em recursos](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em AWS Transfer Family tags](#security_iam_service-with-iam-tags)
+ [AWS Transfer Family Funções do IAM](#security_iam_service-with-iam-roles)

## AWS Transfer Family políticas baseadas em identidade
<a name="security_iam_service-with-iam-id-based-policies"></a>

Com as políticas baseadas em identidade do IAM, é possível especificar ações permitidas ou negadas e recursos, bem como as condições sob as quais as ações são permitidas ou negadas. O AWS Transfer Family oferece suporte a ações, recursos e chaves de condição específicos. Para saber mais sobre todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *AWS Identity and Access Management Guia do usuário do *.

### Ações
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.

As ações políticas AWS Transfer Family usam o seguinte prefixo antes da ação:`transfer:`. Por exemplo, para conceder permissão a alguém para criar uma VPC com a operação da API `CreateServer` do Transfer Family, inclua a ação `transfer:CreateServer` na política da pessoa. As declarações de política devem incluir um elemento `Action` ou AWS Transfer Family . O `NotAction` define seu próprio conjunto de ações que descrevem as tarefas que podem ser executadas com esse serviço.

Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme a seguir.

```
"Action": [
      "transfer:action1",
      "transfer:action2"
```

Você também pode especificar várias ações utilizando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a ação a seguir:

```
"Action": "transfer:Describe*"
```

Para ver uma lista de AWS Transfer Family ações, consulte [Ações definidas por AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-actions-as-permissions) na *Referência de Autorização de Serviço*.

### Recursos
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.

```
"Resource": "*"
```

O recurso de servidor Transfer Family tem o ARN a seguir.

```
arn:aws:transfer:${Region}:${Account}:server/${ServerId}
```

Por exemplo, para especificar o servidor do Transfer Family `s-01234567890abcdef` em sua instrução, use o seguinte ARN.

```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/s-01234567890abcdef"
```

Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) na *Referência de autorização de serviço* ou [IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) no *Guia do usuário do IAM*.

Para especificar todas as instâncias que pertencem a uma conta específica, use o caractere curinga (\$1).

```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/*"
```

Algumas AWS Transfer Family ações são executadas em vários recursos, como as usadas nas políticas do IAM. Nesses casos, é necessário utilizar o caractere curinga (\$1).

```
"Resource": "arn:aws:transfer:*:123456789012:server/*"
```

Em alguns casos, você precisa especificar mais de um tipo de recurso, por exemplo, se você criar uma política que permita acesso aos servidores e usuários do Transfer Family. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.

```
"Resource": [
      "resource1",
      "resource2"
            ]
```

Para ver uma lista de AWS Transfer Family recursos, consulte [Tipos de recursos definidos AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-resources-for-iam-policies) na *Referência de Autorização de Serviço*.

### Chaves de condição
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.

AWS Transfer Family define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver uma lista de chaves de AWS Transfer Family condição, consulte [Chaves de condição AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-policy-keys) na *Referência de autorização de serviço*.

### Exemplos
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Para ver exemplos de políticas AWS Transfer Family baseadas em identidade, consulte. [AWS Transfer Family exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md) Para políticas de IAM específicas do VPC endpoint, consulte. [Limitando o acesso ao VPC endpoint para servidores Transfer Family](create-server-in-vpc.md#limit-vpc-endpoint-access)

## AWS Transfer Family políticas baseadas em recursos
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Políticas baseadas em recursos são documentos de política JSON que especificam quais ações um diretor específico pode realizar no AWS Transfer Family recurso e sob quais condições. O Amazon S3 oferece suporte a políticas de permissões baseadas em recursos para o Amazon S3. *buckets* As políticas baseadas em recursos permitem conceder permissão de uso a outras contas especificada por recurso. Você também pode usar uma política baseada em recursos para permitir que um AWS serviço acesse seu Amazon S3. *buckets*

Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a [entidade principal em uma política baseada em recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Adicionar uma entidade principal entre contas à política baseada em recurso é apenas metade da tarefa de estabelecimento da relação de confiança. Quando o principal e o recurso estão em AWS contas diferentes, você também deve conceder permissão à entidade principal para acessar o recurso. Conceda permissão anexando uma política baseada em identidade para a entidade. No entanto, se uma política baseada em recurso conceder acesso a uma entidade principal na mesma conta, nenhuma política baseada em identidade adicional será necessária. Para obter mais informações, consulte [Como os perfis do IAM diferem de políticas baseadas em recursos ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)no *Guia do usuário do AWS Identity and Access Management *.

O serviço Amazon S3 oferece suporte a apenas um tipo de política baseada em recursos chamada **bucket*política*, que é anexada a uma. *bucket* Essa política define quais entidades principais (contas, usuários, perfis e usuários federados) podem realizar ações no objeto.

### Exemplos
<a name="security_iam_service-with-iam-resource-based-policies-examples"></a>



Para ver exemplos de políticas AWS Transfer Family baseadas em recursos, consulte. [AWS Transfer Family exemplos de políticas baseadas em tags](security_iam_tag-based-policy-examples.md)

## Autorização baseada em AWS Transfer Family tags
<a name="security_iam_service-with-iam-tags"></a>

Você pode anexar tags a AWS Transfer Family recursos ou passar tags em uma solicitação para AWS Transfer Family. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `transfer:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`. Para obter informações sobre como usar tags para controlar o acesso aos AWS Transfer Family recursos, consulte[AWS Transfer Family exemplos de políticas baseadas em tags](security_iam_tag-based-policy-examples.md).

## AWS Transfer Family Funções do IAM
<a name="security_iam_service-with-iam-roles"></a>

Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.

### Usando credenciais temporárias com AWS Transfer Family
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).

AWS Transfer Family suporta o uso de credenciais temporárias.