As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS Resource Groups
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao AWS Resource Groups, consulte [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar os Grupos de recursos. Os tópicos a seguir mostram como configurar os Grupos de recursos para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos do Resource Groups.
**Topics**
+ [Proteção de dados em AWS Resource Groups](security_data-protection.md)
+ [Gerenciamento de identidade e acesso para AWS Resource Groups](security-iam.md)
+ [Registrar em log e monitorar nos Grupos de recursos](security_logging-monitoring.md)
+ [Validação de conformidade para Grupos de recursos](security_compliance.md)
+ [Resiliência nos Grupos de recursos](security_resilience.md)
+ [Segurança da infraestrutura nos Grupos de recursos](security_infrastructure.md)
+ [Acesso AWS Resource Groups usando um endpoint de interface ()AWS PrivateLink](vpc-interface-endpoints.md)
+ [Melhores práticas de segurança para os Grupos de recursos](security_best-practices.md)
# Proteção de dados em AWS Resource Groups
O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em AWS Resource Groups. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com Resource Groups ou outros Serviços da AWS usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia de dados
Em comparação com outros AWS serviços, AWS Resource Groups tem uma superfície de ataque mínima, pois não fornece uma maneira de alterar, adicionar ou excluir AWS recursos, exceto para grupos. Os Grupos de recursos coletam as seguintes informações específicas de serviço de você.
+ Nomes de grupos (não criptografados, não privados)
+ Descrições de grupos (não criptografadas, mas privadas)
+ Recursos de membros em grupos (eles são armazenados em registros, que não são criptografados)
### Criptografia em repouso
Não há outras formas de isolar o tráfego de serviços ou de rede específicos para Grupos de recursos. Se aplicável, use isolamento AWS específico. Você pode usar a API e o console dos grupos de recursos em uma VPC para ajudar a maximizar a privacidade e a segurança da infraestrutura.
### Criptografia em trânsito
AWS Resource Groups os dados são criptografados em trânsito para o banco de dados interno do serviço para backup. Isso não é configurável pelo usuário.
### Gerenciamento de chaves
AWS Resource Groups atualmente não está integrado AWS Key Management Service e não oferece suporte AWS KMS keys.
## Privacidade do tráfego entre redes
AWS Resource Groups usa HTTPS para todas as transmissões entre usuários do Resource Groups e. AWS Os Grupos de recursos usam o Transport Layer Security (TLS) 1.2, mas também são compatíveis com o TLS 1.0 e 1.1.
# Gerenciamento de identidade e acesso para AWS Resource Groups
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar os recursos dos Grupos de recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience_arg-te)
+ [Autenticação com identidades](#security_iam_authentication_arg-te)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage-arg-te)
+ [Como os Grupos de recursos funcionam com o IAM](security_iam_service-with-iam.md)
+ [AWS políticas gerenciadas para AWS Resource Groups](security_iam_awsmanpol.md)
+ [Usar perfis vinculados a serviços para Grupos de recursos](security_iam_service-linked-roles.md)
+ [AWS Resource Groups exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [Solução de problemas AWS Resource Groups de identidade e acesso](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS Resource Groups de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como os Grupos de recursos funcionam com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [AWS Resource Groups exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como os Grupos de recursos funcionam com o IAM
Antes de usar o IAM para gerenciar o acesso aos Grupos de recursos, você precisa saber quais atributos do IAM estão disponíveis para uso com os Grupos de recursos. Para ter uma visão geral de como os Grupos de recursos e outros produtos da AWS funcionam com o IAM, consulte [Produtos da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Topics**
+ [Políticas baseadas em identidade dos Grupos de recursos](#security_iam_service-with-iam-id-based-policies-arg-te)
+ [Políticas baseadas em recursos](#security_iam_resource-based-policies)
+ [Autorização baseada em tags dos Grupos de recursos](#security_iam_tags)
+ [Perfis do IAM dos Grupos de recursos](#security_iam_roles)
## Políticas baseadas em identidade dos Grupos de recursos
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Os Grupos de recursos são compatíveis com ações, recursos e chaves de condição específicos. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de políticas nos Grupos de recursos usam o seguinte prefixo antes da ação: `resource-groups:`. As ações do Tag Editor são executadas inteiramente no console, mas têm o prefixo `resource-explorer` nas entradas do log.
Por exemplo, para conceder permissão a alguém para criar um grupo de Grupos de recursos com a operação da API `CreateGroup` dos Grupos de recursos, inclua a ação `resource-groups:CreateGroup` na política. As instruções de política devem incluir um elemento `Action` ou `NotAction`. Os Grupos de recursos definem seu próprio conjunto de ações que descrevem as tarefas que você pode realizar com esse serviço.
Para especificar várias ações de Grupos de recursos e do Tag Editor em uma única declaração, separe-as com vírgulas, conforme o seguinte:
```
"Action": [
"resource-groups:action1",
"resource-groups:action2",
"resource-explorer:action3"
```
Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `List`, inclua a seguinte ação:
```
"Action": "resource-groups:List*"
```
Para ver uma lista de ações de Grupos de recursos, consulte [Ações, recursos e chaves de condição para o AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) no *Manual do usuário do IAM*.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
O único recurso dos Grupos de recursos disponível é um *grupo*. O recurso de grupo tem o seguinte formato de ARN:
```
arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}
```
Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html).
Por exemplo, para especificar um grupo de recursos `my-test-group` na instrução, use o seguinte ARN:
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/my-test-group"
```
Para especificar todos os grupos que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/*"
```
Algumas ações dos Grupos de recursos, como as ações para a criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
Algumas ações da API dos Grupos de recursos envolvem vários recursos. Por exemplo, `DeleteGroup` exclui grupos, portanto, uma entidade principal de chamada deve ter permissões para excluir um grupo específico ou todos os grupos. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver uma lista dos tipos de recursos do Resource Groups e deles ARNs, e saber com quais ações você pode especificar o ARN de cada recurso, consulte [Actions, Resources, and Condition Keys AWS Resource Groups no Guia](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) *do usuário do IAM*.
### Chaves de condição
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Os Grupos de recursos definem seu próprio conjunto de chaves de condição e também oferecem suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição dos Grupos de recursos e saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações, recursos e chaves de condição para o AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) no *Manual do usuário do IAM*.
### Exemplos
Para ver exemplos das políticas baseadas em identidade dos Grupos de recursos, consulte [AWS Resource Groups exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos
Os Grupos de recursos não oferecem suporte a políticas baseadas em recurso.
## Autorização baseada em tags dos Grupos de recursos
Você pode anexar tags a grupos em Grupos de recursos ou transmitir tags em uma solicitação para os Grupos de recursos. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`. Você pode aplicar tags a um grupo ao criar ou atualizar o grupo. Para obter mais informações sobre como marcar um grupo em Grupos de recursos, consulte [Criação de grupos baseados em consultas no AWS Resource Groups](gettingstarted-query.md) e [Atualizando grupos em AWS Resource Groups](updating-resource-groups.md) neste guia.
Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Visualizar grupos baseados em tags](security_iam_id-based-policy-examples.md#security_iam_policy-examples-view-tags).
## Perfis do IAM dos Grupos de recursos
Uma [função do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas. Os Grupos de recursos não têm nem usam perfis de serviço.
### Uso de credenciais temporárias com Grupos de recursos
Nos Grupos de recursos, você pode usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com//STS/latest/APIReference/API_GetFederationToken.html).
### Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome.
Os Grupos de recursos não têm nem usam perfis vinculados a serviços.
### Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome.
Os Grupos de recursos não têm nem usam perfis de serviço.
# AWS políticas gerenciadas para AWS Resource Groups
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
**Políticas gerenciadas pela AWS para Grupos de recursos**
+ [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy)
+ [ ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources)
+ [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title)
## AWS política gerenciada: ResourceGroupsServiceRolePolicy
Você não pode anexar a `ResourceGroupsServiceRolePolicy` a nenhuma entidade do IAM. Essa política é anexada a um perfil vinculado a serviços que permite que os Grupos de recursos realizem ações em seu nome. Para obter mais informações, consulte [Usar perfis vinculados a serviços para Grupos de recursos](security_iam_service-linked-roles.md).
Essa política concede as permissões necessárias para que os Resource Groups recuperem informações sobre os recursos em seus grupos de recursos e quaisquer CloudFormation pilhas às quais esses recursos pertençam. Isso permite que os Resource Groups gerem CloudWatch eventos para o recurso de eventos do ciclo de vida do grupo.
Para ver a versão mais recente dessa política AWS gerenciada, consulte `[ResourceGroupsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsServiceRolePolicy)` no console do IAM.
## AWS política gerenciada: ResourceGroupsandTagEditorFullAccess
Ao anexar uma política a uma entidade principal, você concede à entidade as permissões definidas na política. AWS as políticas gerenciadas facilitam a atribuição de permissões apropriadas a usuários, grupos e funções do que se você mesmo tivesse que escrever as políticas.
Esta política concede as permissões necessárias para acesso total à funcionalidade de Grupos de recursos e Tag Editor.
Para ver a versão mais recente dessa política AWS gerenciada, consulte `[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)` no console do IAM.
Para obter mais informações sobre essa política, consulte o *Guia [ ResourceGroupsandTagEditorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorFullAccess.html)de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: ResourceGroupsandTagEditorReadOnlyAccess
Ao anexar uma política a uma entidade principal, você concede à entidade as permissões definidas na política. AWS as políticas gerenciadas facilitam a atribuição de permissões apropriadas a usuários, grupos e funções do que se você mesmo tivesse que escrever as políticas.
Esta política concede as permissões necessárias para acesso somente leitura à funcionalidade de Grupos de recursos e Tag Editor.
Para ver a versão mais recente dessa política AWS gerenciada, consulte `[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)` no console do IAM.
Para obter mais informações sobre essa política, consulte o *Guia [ ResourceGroupsandTagEditorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorReadOnlyAccess.html)de referência de políticas AWS gerenciadas*.
## AWS política gerenciada: ResourceGroupsTagging APITag UntagSupportedResources
Ao anexar uma política a uma entidade principal, você concede à entidade as permissões definidas na política. AWS as políticas gerenciadas facilitam a atribuição de permissões apropriadas a usuários, grupos e funções do que se você mesmo tivesse que escrever as políticas.
Essa política concede as permissões necessárias para marcar e desmarcar todos os tipos de recursos compatíveis com a API de AWS Resource Groups marcação`AWS::ApiGateway`, **exceto**, `AWS::CloudFormation``AWS::CodeBuild`, e. `AWS::ServiceCatalog` Marcar e desmarcar esses tipos de recursos excluídos requer permissões adicionais específicas do serviço, que permitem outras ações além de marcar e desmarcar. A lista a seguir descreve quais permissões são necessárias para marcar e desmarcar os tipos de recursos excluídos da política:
+ Os tipos de `AWS::ApiGateway` recursos exigem a `apigateway:Patch` permissão no recurso do API Gateway, e o recurso secundário da tag exige as `apigateway:Delete` permissões `apigateway:Put``apigateway:Get`,,.
+ Os tipos de `AWS::CloudFormation` recursos exigem `cloudformation:UpdateStack` as `cloudformation:UpdateStackSet` permissões e.
+ Os tipos de `AWS::CodeBuild` recursos exigem a `codebuild:UpdateProject` permissão.
+ Os tipos de `AWS::ServiceCatalog` recursos exigem as `servicecatalog:UpdateProduct` permissões `servicecatalog:TagResource` `servicecatalog:UntagResource``servicecatalog:UpdatePortfolio`,, e.
Essa política também concede as permissões necessárias para recuperar todos os recursos marcados ou previamente marcados por meio da API Resource Groups Tagging.
Para ver a versão mais recente dessa política AWS gerenciada, consulte `[ ResourceGroupsTaggingAPITagUntagSupportedResources](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsTaggingAPITagUntagSupportedResources)` no console do IAM.
Para obter mais informações sobre essa política, consulte o *Guia [ ResourceGroupsTaggingAPITagUntagSupportedResources](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsTaggingAPITagUntagSupportedResources.html)de referência de políticas AWS gerenciadas*.
## Atualizações de Resource Groups para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para Resource Groups desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico de documentos dos Grupos de recursos](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| Política atualizada — [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | O Resource Groups atualizou essa política para incluir permissões para oito novos serviços, incluindo o Amazon Application Recovery Controller (ARC) e o Amazon VPC Lattice. As seguintes permissões foram adicionadas à política: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/ARG/latest/userguide/security_iam_awsmanpol.html) | 20 de dezembro de 2024 |
| Nova política — [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | O Resource Groups adicionou uma nova política para fornecer as permissões necessárias para marcar e desmarcar todos os tipos de recursos compatíveis com a API de AWS Resource Groups marcação. | 11 de outubro de 2024 |
| Atualização da política — [ResourceGroupsandTagEditorFullAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorFullAccess.title) | Resource Groups atualizou uma política para incluir AWS CloudFormation permissões adicionais. | 10 de agosto de 2023 |
| Atualização da política — [ResourceGroupsandTagEditorReadOnlyAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorReadOnlyAccess.title) | Resource Groups atualizou uma política para incluir AWS CloudFormation permissões adicionais. | 10 de agosto de 2023 |
| Nova política — [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy.title) | Grupos de recursos adicionou uma nova política para apoiar seu perfil vinculado a serviços. | 17 de novembro de 2022 |
| Os Grupos de recursos começaram a monitorar alterações | Os Resource Groups começaram a monitorar as mudanças em suas políticas AWS gerenciadas. | 17 de novembro de 2022 |
# Usar perfis vinculados a serviços para Grupos de recursos
AWS Resource Groups usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). O perfil vinculado a serviços é um tipo exclusivo de perfil do IAM vinculado diretamente aos Grupos de recursos. Os perfis vinculados ao serviço são predefinidos pelos Grupos de recursos e incluem todas as permissões que o serviço requer para chamar outros produtos da Serviços da AWS em seu nome.
Um perfil vinculado a serviços facilita a configuração dos Grupos de recursos porque você não precisa adicionar as permissões necessárias manualmente. Os Grupos de recursos definem as permissões dos perfis vinculados a serviços e definem políticas de confiança em cada uma, garantindo que somente o serviço dos Grupos de recursos possa assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de perfis vinculados a serviços para Grupos de recursos
Os Grupos de recursos usam perfis vinculados a serviços para dar suporte aos eventos do ciclo de vida do grupo. Escolha o link no nome do perfil para ver o perfil no console do IAM depois de criá-lo.
+ `[AWSServiceRoleForResourceGroups](https://console.aws.amazon.com/iamv2/home#/roles/details/AWSServiceRoleForResourceGroups)`
Resource Groups usa as permissões dessa função para consultar Serviços da AWS quem possui seus recursos para ajudar a resolver a associação ao grupo e manter o grupo up-to-date. Ele permite que Resource Groups emita eventos relacionados a serviços para o serviço da Amazon. EventBridge
O perfil vinculado a serviços `AWSServiceRoleForResourceGroups` confia ***somente*** no seguinte serviço para assumir o perfil:
+ `resourcegroups.amazonaws.com`
As permissões anexadas à função vêm da seguinte política AWS gerenciada. Escolha o link no nome da política para visualizar a política no console do IAM.
+ `AWS políticas gerenciadas para AWS Resource Groups`
## Criar um perfil vinculado a serviços para Grupos de recursos
**Importante**
Este perfil vinculado a serviços pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para obter mais informações, consulte [Uma nova função apareceu em meu Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Para criar o perfil vinculado a serviços, [ative o atributo de eventos do ciclo de vida do grupo](monitor-groups-turn-on.md).
## Como editar um perfil vinculado a serviços para Grupos de recursos
O Resource Groups não permite que você edite a função AWSService RoleForResourceGroups vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Como excluir um perfil vinculado a serviços para Grupos de recursos
Você pode excluir o perfil vinculado a serviços somente após desativar o atributo de eventos do ciclo de vida do grupo.
**Importante**
AWS impede que você remova a função vinculada ao serviço até que você primeiro [desative o recurso de eventos do ciclo de vida do grupo](monitor-groups-turn-off.md) que a criou.
Recomendamos que você não exclua a função vinculada ao serviço, desde que tenha grupos de recursos em sua. Conta da AWS O serviço Resource Groups não poderá interagir com outras pessoas Serviços da AWS para gerenciar seus grupos se você excluir essa função.
### Excluir manualmente o perfil vinculado ao serviço
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForResourceGroups vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
------
#### [ Console ]
**Para excluir o perfil vinculado a serviços dos grupos de serviço**
1. Abra a [página Perfis no console do IAM](https://console.aws.amazon.com/iam/home#/roles).
1. Encontre a função nomeada AWSService RoleForResourceGroups e marque a caixa de seleção ao lado dela.
1. Escolha **Excluir**.
1. Confirme sua intenção de excluir o perfil inserindo o nome dele na caixa e, em seguida, escolha **Excluir**.
O perfil desaparece da sua lista de perfis no console do IAM.
------
#### [ AWS CLI ]
**Para excluir o perfil vinculado a serviços dos grupos de serviço**
Para excluir o perfil, digite o comando a seguir com os parâmetros exatamente como mostrados. Não substitua nenhum dos valores.
```
$ aws iam delete-service-linked-role \
--role-name AWSServiceRoleForResourceGroups
{
"DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}
```
O comando retorna um ID de tarefa. A exclusão real do perfil ocorre de forma assíncrona. Você pode verificar o status da exclusão da função passando o identificador de tarefa fornecido para o AWS CLI comando a seguir.
```
$ aws iam get-service-linked-role-deletion-status \
--deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
"Status": "SUCCEEDED"
}
```
------
## Regiões com suporte a perfis vinculados a serviços dos Grupos de recursos
O Resource Groups oferece suporte ao uso de funções vinculadas a serviços em todos os Regiões da AWS lugares em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# AWS Resource Groups exemplos de políticas baseadas em identidade
Por padrão, as entidades principais do IAM, como os usuários e as funções, não têm permissão para criar ou modificar recursos dos Grupos de recursos . Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam às entidades principais permissão para executar operações de API específicas nos recursos especificados de que elas precisam. O administrador deve anexar essas políticas às entidades principais que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_policy-best-practices)
+ [Usar o console e a API dos Grupos de recursos](#security_iam_policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_policy-examples-own-permissions)
+ [Visualizar grupos baseados em tags](#security_iam_policy-examples-view-tags)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos dos Grupos de recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usar o console e a API dos Grupos de recursos
Para acessar o console AWS Resource Groups e a API do Tag Editor, você precisa ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do Resource Groups em sua AWS conta. Se você criar uma política baseada em identidade mais restritiva do que as permissões mínimas requeridas, o console e os comandos da API não funcionarão conforme planejado para as entidades principais (usuários ou perfis do IAM) com essa política.
Para garantir que essas entidades ainda possam usar Grupos de recursos, anexe a seguinte política (ou uma que contenha as permissões listadas na seguinte política) às entidades. Para obter mais informações, consulte [Adição de permissões a um usuário](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Manual do usuário do IAM*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:List*"
],
"Resource": "*"
}
]
}
```
------
Para obter mais informações sobre como conceder acesso a Grupos de recursos, consulte [Conceder permissões para usar um AWS Resource Groups Editor de tags](gettingstarted-prereqs-permissions-howto.md) neste guia.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Visualizar grupos baseados em tags
Você pode usar condições em sua política baseada em identidade para controlar o acesso aos recursos dos Grupos de recursos baseados em tags. Este exemplo mostra como você pode criar uma política que permite visualizar um recurso; neste exemplo, um grupo de recursos. No entanto, a permissão é concedida somente se a tag do grupo `project` tiver o mesmo valor que a tag `project` anexada à entidade principal da chamada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "resource-groups:GetGroup",
"Resource": "arn:aws:resource-groups:us-east-1:111122223333:group/group_name",
"Condition": {
"StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
}
}
]
}
```
------
Você pode anexar esta política às entidades principais na sua conta. Se uma entidade principal com a chave de tag `project` e o valor da tag `alpha` tentar visualizar um grupo de recursos, o grupo também deverá ser marcado como `project=alpha`. Caso contrário, o usuário terá o acesso negado. A chave da tag de condição `project` corresponde a `Project` e a `project` porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos da política JSON do IAM: Condição) no *Guia do usuário do IAM*.
# Solução de problemas AWS Resource Groups de identidade e acesso
Use as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com os Grupos de recursos e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação nos Grupos de recursos](#security_iam_troubleshoot-permissions-arg-te)
+ [Não estou autorizado a realizar iam: PassRole](#security_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus Resource Groups](#security_troubleshoot-cross-account)
## Não tenho autorização para executar uma ação nos Grupos de recursos
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão.
O erro de exemplo a seguir ocorre quando o usuário `mateojackson` tenta usar o console para visualizar detalhes sobre um grupo, mas não tem a permissão `resource-groups:ListGroups`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resource-groups:ListGroups on resource: arn:aws:resource-groups::us-west-2:123456789012:group/my-test-group
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `my-test-group` usando a ação `resource-groups:ListGroups`.
## Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não tem autorização para executar a ação `iam:PassRole`, as suas políticas deverão ser atualizadas para permitir a passagem de um perfil para os Grupos de recursos.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro de exemplo a seguir ocorre quando uma usuária do IAM chamada`marymajor` tenta usar o console para executar uma ação nos Grupos de recursos. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha AWS conta acessem meus Resource Groups
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se os Grupos de recursos são compatíveis com esses atributos, consulte [Como os Grupos de recursos funcionam com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Registrar em log e monitorar nos Grupos de recursos
Todas AWS Resource Groups as ações estão logadas AWS CloudTrail.
## Registrando chamadas de AWS Resource Groups API com AWS CloudTrail
AWS Resource Groups e o Tag Editor estão integrados com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Resource Groups ou no Tag Editor. CloudTrail captura todas as chamadas de API para Resource Groups como eventos, incluindo chamadas do console Resource Groups ou Tag Editor e de chamadas de código para os Resource Groups APIs. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para Resource Groups. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita para Resource Groups, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais sobre isso CloudTrail, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
### Informações sobre Resource Groups em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando a atividade ocorre no Resource Groups ou no console do Tag Editor, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no **histórico** de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos para Resource Groups, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, ao criar uma trilha no console, ela é aplicada a todas as regiões da . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, é possível configurar outros serviços da AWS para analisar mais profundamente e agir sobre os dados de evento coletados nos logs do CloudTrail. Para obter mais informações, consulte:
+ [Visão geral da criação de uma trilha](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Serviços compatíveis e integrações do](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas as ações do Resource Groups são registradas CloudTrail e documentadas na [Referência da AWS Resource Groups API](https://docs.aws.amazon.com//ARG/latest/APIReference/). As ações do Resource Groups em CloudTrail são mostradas como eventos com o endpoint da API `resource-groups.amazonaws.com` como fonte. Por exemplo, chamadas para as `UpdateGroupQuery` ações `CreateGroup``GetGroup`, e geram entradas nos arquivos de CloudTrail log. As ações do Editor de tags no console são CloudTrail registradas e mostradas como eventos com o endpoint interno da API `resource-explorer` como fonte.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
+ Se a solicitação foi feita com credenciais de usuário-raiz ou usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte [Elemento do CloudTrail `userIdentity`](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
### Noções básicas sobre as entradas de arquivos de log dos Grupos de recursos
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer origem e inclui informações sobre a ação solicitada, a data e hora da ação, parâmetros de solicitação, e assim por diante. arquivos de log do CloudTrail não são um rastreamento de pilha ordenada das chamadas da API pública. Assim, elas não são exibidas em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a ação`CreateGroup`.
```
{"eventVersion":"1.05",
"userIdentity":{
"type":"AssumedRole",
"principalId":"ID number:AWSResourceGroupsUser",
"arn":"arn:aws:sts::831000000000:assumed-role/Admin/AWSResourceGroupsUser",
"accountId":"831000000000","accessKeyId":"ID number",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2018-06-05T22:03:47Z"
},
"sessionIssuer":{
"type":"Role",
"principalId":"ID number",
"arn":"arn:aws:iam::831000000000:role/Admin",
"accountId":"831000000000",
"userName":"Admin"
}
}
},
"eventTime":"2018-06-05T22:18:23Z",
"eventSource":"resource-groups.amazonaws.com",
"eventName":"CreateGroup",
"awsRegion":"us-west-2",
"sourceIPAddress":"100.25.190.51",
"userAgent":"console.amazonaws.com",
"requestParameters":{
"Description": "EC2 instances that we are using for application staging.",
"Name": "Staging",
"ResourceQuery": {
"Query": "string",
"Type": "TAG_FILTERS_1_0"
},
"Tags": {
"Key":"Phase",
"Value":"Stage"
}
},
"responseElements":{
"Group": {
"Description":"EC2 instances that we are using for application staging.",
"groupArn":"arn:aws:resource-groups:us-west-2:831000000000:group/Staging",
"Name":"Staging"
},
"resourceQuery": {
"Query":"string",
"Type":"TAG_FILTERS_1_0"
}
},
"requestID":"de7z64z9-d394-12ug-8081-7zz0386fbcb6",
"eventID":"8z7z18dz-6z90-47bz-87cf-e8346428zzz3",
"eventType":"AwsApiCall",
"recipientAccountId":"831000000000"
}
```
# Validação de conformidade para Grupos de recursos
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [Documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Resiliência nos Grupos de recursos
AWS Resource Groups executa backups automatizados nos recursos de serviços internos. Esses backups não são configuráveis pelo usuário. Os backups são criptografados, em repouso e em trânsito. Os Grupos de recursos armazenam dados de clientes no Amazon DynamoDB.
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Mesmo a perda total dos grupos de recursos do usuário não resultaria na perda de dados do cliente, porque a maioria dos dados do cliente é replicada nas zonas de AWS disponibilidade (AZs). Se você excluir grupos acidentalmente, entre em contato com a [Central do AWS Support](https://console.aws.amazon.com/support/home#/).
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança da infraestrutura nos Grupos de recursos
Não há outras formas de isolar o tráfego de serviço ou rede fornecido pelos Grupos de recursos. Se aplicável, use isolamento AWS específico. Você pode usar a API e o console dos grupos de recursos em uma VPC para ajudar a maximizar a privacidade e a segurança da infraestrutura.
Como serviço gerenciado, AWS Resource Groups é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar Resource Groups pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Os Grupos de recursos não oferecem suporte a políticas baseadas em recurso.
# Acesso AWS Resource Groups usando um endpoint de interface ()AWS PrivateLink
Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e. AWS Resource Groups Você pode acessar Resource Groups como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para acessar Resource Groups.
Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado a Resource Groups.
Para obter mais informações, consulte [Acesso Serviços da AWS por meio AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) do *AWS PrivateLink Guia*.
## Considerações sobre Resource Groups
*Antes de configurar um endpoint de interface para Resource Groups, revise [Considerações](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) no AWS PrivateLink Guia.*
O Resource Groups oferece suporte para fazer chamadas para todas as suas ações de API por meio do endpoint da interface.
## Crie um endpoint de interface para Resource Groups
Você pode criar um endpoint de interface para Resource Groups usando o console Amazon VPC ou AWS Command Line Interface o AWS CLI(). Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do usuário do AWS PrivateLink *.
Crie um endpoint de interface para Resource Groups usando o seguinte nome de serviço:
```
com.amazonaws.region.resource-groups
```
Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API para Resource Groups usando o nome DNS regional padrão. Por exemplo, .`resource-groups.us-east-1.amazonaws.com`
## Crie uma política de endpoint para seu endpoint de interface.
Uma política de endpoint é um recurso do IAM que pode ser anexado ao endpoint de interface. A política de endpoint padrão permite acesso total aos Resource Groups por meio do endpoint da interface. Para controlar o acesso permitido aos Resource Groups da sua VPC, anexe uma política de endpoint personalizada ao endpoint da interface.
Uma política de endpoint especifica as seguintes informações:
+ As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).
+ As ações que podem ser realizadas.
+ Os recursos nos quais as ações podem ser executadas.
Para obter mais informações, consulte [Controlar o acesso aos serviços usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *.
**Exemplo: política de VPC endpoint para ações de Resource Groups**
Veja a seguir um exemplo de uma política de endpoint personalizado. Quando você anexa essa política ao seu endpoint de interface, ela concede acesso às ações listadas do Resource Groups para todos os diretores em todos os recursos.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:GetAccountSettings",
"resource-groups:GetGroupQuery"
],
"Resource":"*"
}
]
}
```
# Melhores práticas de segurança para os Grupos de recursos
As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
+ **Use o princípio de privilégio mínimo** para conceder acesso aos grupos. Grupos de recursos são compatíveis com permissões no nível do recurso. Conceda acesso a grupos específicos somente conforme necessário para usuários específicos. Evite usar asteriscos em declarações de política que atribuam permissões a todos os usuários ou a todos os grupos. Para obter mais informações sobre privilégios mínimos, consulte [Conceder privilégio mínimo](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#grant-least-privilege) no *Guia do usuário do IAM*.
+ **Mantenha as informações privadas fora dos campos públicos.** O nome de um grupo é tratado como metadados do serviço. Os nomes dos grupos não são criptografados. Não coloque informações confidenciais nos nomes dos grupos. As descrições dos grupos são privadas.
Não coloque informações privadas ou confidenciais nas chaves ou valores das tags.
+ **Use a autorização com base na marcação** sempre que apropriado. Os Grupos de recursos aceitam autorização baseada em tags. Você pode marcar grupos e, em seguida, atualizar as políticas anexadas às suas entidades principais do IAM, como usuários e funções, para definir o nível de acesso com base nas tags aplicadas a um grupo. Para obter mais informações sobre como usar a autorização com base em tags, consulte Como [controlar o acesso a AWS recursos usando tags de recursos](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*.
Muitos AWS serviços oferecem suporte à autorização com base em tags para seus recursos. Esteja ciente de que a autorização baseada em tags pode ser configurada para recursos de membros em um grupo. Se o acesso aos recursos de um grupo for restrito por tags, usuários ou grupos não autorizados talvez não consigam realizar ações ou automações nesses recursos. Por exemplo, se uma EC2 instância da Amazon em um de seus grupos estiver marcada com uma chave de tag de `Confidentiality` e um valor de tag de`High`, e você não estiver autorizado a executar comandos em recursos marcados`Confidentiality:High`, as ações ou automações que você executa na EC2 instância falharão, mesmo que as ações sejam bem-sucedidas para outros recursos no grupo de recursos. Para obter mais informações sobre quais serviços oferecem suporte à autorização baseada em tags para seus recursos, consulte [Produtos da AWS que funcionam com o IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
Para obter mais informações sobre como desenvolver uma estratégia de marcação para seus AWS recursos, consulte Estratégias de [AWS marcação](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/).