# Políticas gerenciadas e em linha
Ao definir as permissões para uma identidade no IAM, você deve decidir se deseja usar uma política gerenciada pela AWS, uma política gerenciada pelo cliente ou uma política em linha. Os tópicos a seguir oferecem mais informações sobre cada um dos tipos de políticas baseadas em identidade e quando usá-las.
A tabela a seguir descreve essas políticas:
| Tipo de política | Descrição | Quem gerencia a política? | Modificar permissões? | Número de entidades principais aplicadas à política? |
| --- | --- | --- | --- | --- |
| [AWSPolíticas gerenciadas pela](#aws-managed-policies) | Política autônoma criada e administrada pela AWS. | AWS | Não | Muitas |
| [Políticas gerenciadas pelo cliente](#customer-managed-policies) | Política que você cria para casos de uso específicos, e você poderá alterá-las ou atualizá-las com a frequência que desejar. | You | Sim | Muitas |
| [Políticas em linha](#inline-policies) | Política criada para uma única identidade do IAM (usuário, grupo ou perfil) que mantém uma estrita relação de um para um entre uma política e uma identidade. | You | Sim | Um |
**Topics**
+ [AWSPolíticas gerenciadas pela](#aws-managed-policies)
+ [Políticas gerenciadas pelo cliente](#customer-managed-policies)
+ [Políticas em linha](#inline-policies)
+ [Escolher entre políticas gerenciadas e políticas em linha](access_policies-choosing-managed-or-inline.md)
+ [Converter uma política em linha em uma política gerenciada](access_policies-convert-inline-to-managed.md)
+ [Políticas gerenciadas pela AWS defasadas](access_policies_managed-deprecated.md)
## AWSPolíticas gerenciadas pela
Uma *política gerenciada pela AWS* é uma política independente que é criada e administrada pela AWS. A *política independente* significa que a política tem seu próprio nome do recurso da Amazon (ARN) que inclui o nome da política. Por exemplo, `arn:aws:iam::aws:policy/IAMReadOnlyAccess` é uma política gerenciada da AWS. Para obter mais informações sobre ARNs do , consulte [ARNs do IAM](reference_identifiers.md#identifiers-arns). Para obter uma lista das políticas gerenciadas pela AWS dos Serviços da AWS, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
As políticas gerenciadas pela AWS facilitam a atribuição das devidas permissões aos usuários, perfis e grupos do IAM. É mais rápido do que escrever as políticas por conta própria e contém permissões para vários casos de uso comuns.
Você não pode alterar as permissões definidas em políticas gerenciadas pela AWS. Ocasionalmente, a AWS atualizará as permissões definidas em uma política gerenciada da AWS. Quando a AWS faz isso, a atualização afeta todas as entidades principais (usuários, grupos e perfis do IAM) às quais a política está anexada. É mais provável que a atualização de uma política gerenciada pela AWS ocorra quando um novo serviço da AWS for iniciado ou novas chamadas de API se tornarem disponíveis para os serviços existentes. Por exemplo, a política gerenciada pela AWS denominada **ReadOnlyAccess** fornece acesso somente leitura a todos os recursos e Serviços da AWS. Quando a AWS lança um novo serviço, a AWS atualiza a política **ReadOnlyAccess** para adicionar permissões somente leitura para o novo serviço. As permissões atualizadas são aplicadas a todas as entidades principais às quais política estiver anexada.
*Políticas gerenciadas pela AWS de acesso total*: elas definem permissões para administradores de serviço concedendo acesso total a um serviço. Os exemplos incluem:
+ [AmazonDynamoDBFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess.html)
+ [IAMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/IAMFullAccess.html)
*Políticas gerenciadas pela AWS para usuários avançados*: essas políticas fornecem acesso total aos recursos e Serviços da AWS, mas não permitem gerenciar usuários e grupos do IAM. Os exemplos incluem:
+ [AWSCodeCommitPowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodeCommitPowerUser.html)
+ [AWSKeyManagementServicePowerUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSKeyManagementServicePowerUser.html)
*Políticas gerenciadas pela AWS de acesso parcial*: elas fornecem níveis específicos de acesso aos Serviços da AWS sem fornecer permissões de nível de acesso de [gerenciamento de permissões](access_policies_understand-policy-summary-access-level-summaries.md#access_policies_access-level). Os exemplos incluem:
+ [AmazonMobileAnalyticsWriteOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMobileAnalyticsWriteOnlyAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
*Políticas gerenciadas pela AWS de funções de trabalho*: essas políticas se alinham estreitamente a funções de trabalho bastante usadas no setor de TI e facilitam a concessão de permissões para essas funções de trabalho. Uma das principais vantagens de usar políticas de função de trabalho é que elas são mantidas e atualizadas pela AWS à medida que novos serviços e operações de API são introduzidos. Por exemplo, a função de trabalho [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) fornece acesso total e delegação de permissões para cada serviço e recurso na AWS. Recomendamos usar essa política apenas para o administrador da conta. Para usuários avançados que exigem acesso completo a todos os serviços, exceto o acesso limitado ao IAM e ao AWS Organizations, use a função de trabalho [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html). Para obter uma lista e as descrições das políticas de função de trabalho, consulte [AWSPolíticas gerenciadas pela para funções de trabalho](access_policies_job-functions.md).
O seguinte diagrama ilustra as políticas gerenciadas pela AWS. O diagrama mostra três políticas gerenciadas pela AWS: **AdministratorAccess**, **PowerUserAccess** e **AWSCloudTrailReadOnlyAccess**. Uma única política gerenciada pela AWS pode ser anexada a entidades principais em diferentes Contas da AWS e a entidades principais diferentes em uma única Conta da AWS.
![\[Diagrama de políticas gerenciadas pela AWS\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-aws-managed-policies.diagram.png)
## Políticas gerenciadas pelo cliente
Você pode criar políticas autônomas na sua Conta da AWS, que podem ser anexadas às entidades principais (usuários, grupos e perfis do IAM). Crie essas *políticas gerenciadas pelo cliente* para seus casos de uso específicos e você poderá alterá-las e atualizá-las quantas vezes quiser. Assim como nas políticas gerenciadas pela AWS, ao anexar uma política a uma entidade principal, você atribui à entidade as permissões que estão definidas na política. Quando você atualiza permissões na política, as alterações são aplicadas a todas as entidades principais às quais a política esteja anexada.
Uma ótima forma de criar uma política gerenciada pelo cliente é começar copiando uma política gerenciada pela AWS. Dessa forma, você sabe que a política está correta no início e basta personalizá-la para seu ambiente.
O seguinte diagrama ilustra as políticas gerenciadas pelo cliente. Cada política é uma entidade no IAM com seu próprio [nome de recurso da Amazon (ARN)](reference_identifiers.md#identifiers-arns) que inclui o nome da política. Observe que a mesma política pode ser anexada a várias entidades de segurança, por exemplo, a mesma política **DynamoDB-books-app** é anexada a duas funções do IAM distintas.
Para obter mais informações, consulte . [Defina permissões personalizadas do IAM com políticas gerenciadas pelo cliente](access_policies_create.md)
![\[Diagrama de políticas gerenciadas pelo cliente\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-customer-managed-policies.diagram.png)
## Políticas em linha
A política em linha é uma política criada para uma única identidade do IAM (um usuário, grupo de usuários ou perfil). As políticas em linha mantêm um relacionamento estrito de um para um entre uma política e uma identidade. Elas são excluídas quando você exclui a identidade. Você pode criar uma política e incorporá-la em uma identidade, seja ao criar a identidade ou posteriormente. Se a política puder ser aplicada a mais de uma entidade, é melhor usar uma política gerenciada.
O seguinte diagrama ilustra as políticas em linha. Cada política é uma parte inerente do usuário, do grupo ou da função. Observe que dois perfis incluem a mesma política (**DynamoDB-books-app**), mas eles não compartilham uma única política. Cada perfil tem sua própria cópia da política.
![\[Diagrama de políticas em linha\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/policies-inline-policies.diagram.png)
# Escolher entre políticas gerenciadas e políticas em linha
Considere seus casos de uso ao decidir entre políticas gerenciadas e em linha. Na maioria dos casos, recomendamos que você use políticas gerenciadas em vez de políticas em linha.
**nota**
É possível usar políticas gerenciadas e em linha juntas para definir permissões comuns e exclusivas para uma entidade principal.
As políticas gerenciadas fornecem os seguintes recursos:
**Capacidade de reutilização**
Uma única política gerenciada pode ser anexada a várias entidades principais (usuários, grupos e funções). Você pode criar uma biblioteca de políticas que definem permissões úteis para sua Conta da AWS e anexar essas políticas a entidades principais, conforme necessário.
**Gerenciamento de alterações central**
Quando você alterar uma política gerenciada, a alteração será aplicada a todas as entidades principais às quais a política estiver anexada. Por exemplo, se você quiser adicionar permissões para uma nova API da AWS, poderá atualizar uma política gerenciada pelo cliente ou associar uma política gerenciada pela AWS para adicionar a permissão. Se você estiver usando uma política gerenciada pela AWS, a AWS atualizará a política. Quando uma política gerenciada é atualizada, as alterações são aplicadas a todas as entidades principais às quais a política gerenciada está anexada. Por outro lado, para alterar uma política em linha, é necessário editar individualmente cada identidade que a contém. Por exemplo, se um grupo e um perfil contiverem a mesma política em linha, você deverá editar individualmente as duas entidades principais para alterar essa política.
**Versionamento e reversão**
Quando você altera uma política gerenciada pelo cliente, a política alterada não substitui a política existente. Em vez disso, o IAM cria uma nova versão da política gerenciada. O IAM armazena até cinco versões de suas políticas gerenciadas pelo cliente. Você pode usar as versões da política para reverter uma política para uma versão anterior, conforme necessário.
Uma versão de política é diferente de um elemento de política `Version`. O elemento de política `Version` é usado em uma política e define a versão da linguagem da política. Para saber mais sobre as versões de política, consulte [Versionamento de políticas do IAM](access_policies_managed-versioning.md). Para saber mais sobre o elemento de política `Version`, consulte [Elementos de política JSON do IAM: Version](reference_policies_elements_version.md).
**Como delegar o gerenciamento de permissões**
Você pode permitir que os usuários na sua Conta da AWS anexem e desanexem políticas sem deixar de manter o controle das permissões definidas nessas políticas. Para isso, você pode designar alguns usuários como administradores completos, ou seja, administradores que podem criar, atualizar e excluir políticas. Em seguida, você pode designar outros usuários como administradores limitados. Esses administradores limitados que podem anexar políticas a outras entidades principais, mas somente as políticas que você permitiu que eles anexassem.
Para obter mais informações sobre como delegar permissões, consulte [Controle de acesso a políticas](access_controlling.md#access_controlling-policies).
**Limites de caracteres de política maiores**
O limite máximo de tamanho em caracteres para as políticas gerenciadas é maior do que o limite para as políticas em linha. Se você atingir o limite de tamanho em caracteres da política em linha, poderá criar mais grupos do IAM e anexar a política gerenciada ao grupo.
Para obter mais informações sobre cotas e limites, consulte [IAM e cotas do AWS STS](reference_iam-quotas.md).
**Atualizações automáticas para políticas gerenciadas pela AWS**
A AWS mantém políticas gerenciadas pela AWS e as atualiza quando necessário, por exemplo, para adicionar permissões para novos serviços da AWS), sem precisar fazer alterações. As atualizações são aplicadas automaticamente às entidades principais às quais você tenha anexado a política gerenciada pela AWS.
## Introdução a serviços gerenciados
Recomendamos o uso de políticas que [concedam privilégios mínimos](access_policies.md#grant-least-priv) ou conceder apenas as permissões necessárias para executar uma tarefa. A maneira mais segura de conceder privilégio mínimo é escrever uma política gerenciada pelo cliente apenas com as permissões necessárias para sua equipe. Você deve criar um processo para permitir que sua equipe solicite mais permissões quando necessário. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](access_policies_create-console.md) que fornecem à sua equipe apenas as permissões de que precisam.
Para começar a adicionar permissões às suas identidades do IAM (usuários, grupos de usuários e funções), você pode usar as [AWSPolíticas gerenciadas pela](access_policies_managed-vs-inline.md#aws-managed-policies). As políticas gerenciadas pela AWS não concedem permissões de privilégio mínimo. Você deve considerar o risco de segurança de conceder às suas entidades de segurança mais permissões do que elas precisam para realizar um trabalho.
Você pode anexar políticas gerenciadas pela AWS, incluindo funções de trabalho, a qualquer identidade do IAM. Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](access_policies_manage-attach-detach.md).
Para alternar para permissões de privilégio mínimo, você pode executar o AWS Identity and Access Management and Access Analyzer para monitorar as entidades de segurança com políticas gerenciadas pela AWS. Depois de saber quais permissões elas estão usando, você pode escrever ou gerar uma política gerenciada pelo cliente apenas com as permissões necessárias para sua equipe. Isso é menos seguro, mas oferece mais flexibilidade à medida que você aprende como sua equipe está usando a AWS. Para obter mais informações, consulte [Geração de política do IAM Access Analyzer](access-analyzer-policy-generation.md).
AWSAs políticas gerenciadas pela são criadas para fornecer permissões para vários casos de uso comuns. Para obter mais informações sobre políticas gerenciadas pela AWS projetadas para funções de trabalho específicas, consulte [AWSPolíticas gerenciadas pela para funções de trabalho](access_policies_job-functions.md).
Para obter uma lista de políticas gerenciadas pela AWS, consulte o [Guia de referência de políticas gerenciadas pela AWS](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Usar políticas em linha
As políticas em linha são úteis se você desejar manter um relacionamento rigorosamente individual entre uma política e a identidade à qual ela é aplicada. Por exemplo, se você deseja ter certeza de que as permissões em uma política não sejam atribuídas acidentalmente a uma identidade diferente da pretendida. Quando você usa uma política em linha, as permissões nela não podem ser anexadas acidentalmente à identidade errada. Além disso, quando você usa o Console de gerenciamento da AWS para excluir a identidade, as políticas incorporadas nela também são excluídas porque fazem parte da entidade principal.
# Converter uma política em linha em uma política gerenciada
Se tiver políticas em linha na conta, você poderá convertê-las em políticas gerenciadas. Para fazer isso, copie a política para uma nova política gerenciada. Depois, anexe a nova política à identidade que tem a política em linha. Depois disso, exclua a política em linha.
## Converter uma política em linha em uma política gerenciada
**Para converter uma política em linha em uma política gerenciada**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **User groups** (Grupos de usários), **Users** (Usuários) ou **Roles** (Funções).
1. Na lista, selecione o nome do grupo de usuários, usuário ou função que tem a política que você deseja remover.
1. Escolha a aba **Permissões**.
1. Para grupos do IAM, selecione o nome da política em linha que você deseja remover. Em usuários e perfis, escolha **Mostrar mais *n***, se necessário, e depois expanda a política em linha que você deseja remover.
1. Escolha **Copiar** para copiar o documento da política JSON para a política.
1. No painel de navegação, selecione **Políticas**.
1. Escolha **Criar política** e depois escolha a opção **JSON**.
1. Substitua o texto existente pelo texto da sua política JSON e escolha **Avançar**.
1. Insira um nome e uma descrição opcional para a política e escolha **Criar política**.
1. No painel de navegação, escolha **User groups** (Grupos de usuários), **Users** (Usuários) ou **Roles** (Funções) e, novamente, escolha o nome do grupo de usuários, usuário ou função que tem a política que você deseja remover.
1. Escolha a guia **Permissões** e depois escolha **Adicionar permissões**.
1. Para grupos do IAM, marque a caixa de seleção ao lado do nome da nova política, escolha **Adicionar permissões** e depois **Anexar política**. Para usuários ou funções, escolha **Add permissions (Adicionar permissões)**. Na página seguinte, escolha **Anexar políticas existentes diretamente**, marque a caixa de seleção ao lado do nome da nova política, escolha **Próximo** e depois **Adicionar permissões**.
Você será direcionado para a página **Summary** (Resumo) do grupo de usuários, do usuário ou da função.
1. Marque a caixa de seleção ao lado da política em linha que você deseja remover e escolha **Remover**.
# Políticas gerenciadas pela AWS defasadas
Para simplificar a atribuição de permissões, a AWS [fornece políticas gerenciadas](access_policies_managed-vs-inline.md), políticas predefinidas que estão prontas para serem anexadas a usuários, grupos e funções do IAM.
Às vezes, a AWS precisa adicionar uma nova permissão a uma política existente, como quando um novo serviço é introduzido. Adicionar uma nova permissão a uma política existente não interrompe nem remove nenhum recurso ou capacidade.
No entanto, a AWS pode optar por criar uma *nova* política quando as alterações necessárias podem afetar os clientes se elas forem aplicadas a uma política existente. Por exemplo, a remoção de permissões de uma política existente pode interromper as permissões de alguma entidade do IAM ou aplicação que depende dela, podendo interromper uma operação essencial.
Portanto, quando uma alteração é necessária, a AWS cria uma nova política inteiramente nova com as alterações necessárias e a disponibiliza para os clientes. A política antiga é, então, marcada como *preterida*. Para obter mais informações, consulte [Deprecated AWS managed policies](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) no *AWS Managed Policy Reference Guide*.