O Amazon Monitron não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para recursos semelhantes ao Amazon Monitron, consulte nossa [postagem no blog](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no Amazon Monitron
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de data centers e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam ao Amazon Monitron, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade dos dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda você a entender como aplicar o Modelo de Responsabilidade Compartilhada ao usar o Amazon Monitron. Os tópicos a seguir mostram como configurar o Amazon Monitron para atender aos seus objetivos de segurança e compatibilidade. Você também aprende a usar outros AWS serviços que ajudam você a monitorar e proteger seus recursos do Amazon Monitron.
**Topics**
+ [Proteção de dados no Amazon Monitron](data-protection.md)
+ [Gerenciamento de identidade e acesso para o Amazon Monitron](security-iam.md)
+ [Registrar em log e monitorar no Amazon Monitron](monitron-logging.md)
+ [Validação de conformidade do Amazon Monitron](monitron-compliance.md)
+ [Segurança da infraestrutura no Amazon Monitron](infrastructure-security.md)
+ [Práticas recomendadas de segurança para o Amazon Monitron](security-best-practices.md)
# Proteção de dados no Amazon Monitron
O Amazon Monitron está em conformidade com o modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) , que inclui regulamentações e diretrizes para proteção de dados. AWS é responsável por proteger a infraestrutura global que executa todos os AWS serviços. AWS mantém o controle sobre os dados hospedados nessa infraestrutura, incluindo os controles de configuração de segurança para lidar com o conteúdo do cliente e os dados pessoais. AWS clientes e parceiros da APN, atuando como controladores ou processadores de dados, são responsáveis por todos os dados pessoais que colocam na AWS nuvem.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da AWS conta e configure usuários individuais com AWS Identity and Access Management (IAM), para que cada usuário receba somente as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use TLS (Transport Layer Security) para se comunicar com AWS os recursos.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail.
+ Use soluções AWS de criptografia, juntamente com todos os controles de segurança padrão nos AWS serviços.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3.
É altamente recomendável que você nunca coloque informações de identificação confidenciais, como números de conta dos seus clientes, em campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Amazon Monitron ou outros AWS serviços usando o console, a API ou. AWS CLI AWS SDKs Todos os dados que você insere no Amazon Monitron ou em outros serviços podem ser separados para inclusão em logs de diagnóstico. Ao fornecer um URL para um servidor externo, não inclua informações de credenciais no URL para validar a solicitação a esse servidor.
Para obter mais informações sobre proteção de dados, consulte a publicação [Modelo de responsabilidade compartilhada da AWS e do RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
**Topics**
+ [Dados em repouso](data-at-rest.md)
+ [Dados em trânsito](data-in-transit.md)
+ [AWS KMS e criptografia de dados no Amazon Monitron](kms-data-encrypt.md)
# Dados em repouso
Seus dados são criptografados em repouso na nuvem usando um dos dois tipos de chaves por meio de AWS Key Management Service (AWS KMS). Os dados são criptografados no Amazon Simple Storage Service (Amazon S3) usando uma Chave pertencente à AWS. O Amazon Monitron também armazena dados em tabelas no Amazon DynamoDB. Por padrão, eles são criptografados usando uma AWS CMK própria. No entanto, se um cliente escolher **Configurações de criptografia personalizadas** ao configurar um projeto, o Amazon Monitron usará uma CMK gerenciada pelo cliente.
Consulte também [Usar a criptografia do lado do servidor para o fluxo do Kinesis](monitron-kinesis-export.md#data-export-server-side-encryption).
# Dados em trânsito
O Amazon Monitron usa TLS (Transport Layer Security) para criptografar dados que são transferidos entre os sensores e o Amazon Monitron.
# AWS KMS e criptografia de dados no Amazon Monitron
O Amazon Monitron criptografa seus dados e informações do projeto usando um dos dois tipos de chaves por meio AWS Key Management Service de ().AWS KMS Você pode escolher uma das seguintes opções:
+ Um Chave pertencente à AWS. Essa é a chave de criptografia padrão e é usada se você não escolher **Configurações de criptografia personalizadas** ao configurar seu projeto.
+ Uma CMK gerenciada pelo cliente. Você pode usar uma chave existente na sua AWS conta ou criar uma chave no AWS KMS console ou usando a API. Se você estiver usando uma chave existente, **escolha Escolher uma AWS KMS chave** e, em seguida, escolha uma chave na lista de AWS KMS chaves ou insira o Amazon Resource Name (ARN) de outra chave. Se você quiser criar uma nova chave, escolha **Criar uma AWS KMS chave**. Para obter mais informações, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor AWS Key Management Service *.
Ao usar AWS KMS para criptografar seus dados, lembre-se do seguinte:
+ Seus dados são criptografados em repouso na nuvem no Amazon S3 e no Amazon DynamoDB.
+ Quando os dados são criptografados usando uma AWS CMK própria, o Amazon Monitron usa uma CMK separada para cada cliente.
+ Os usuários do IAM devem ter as permissões necessárias para chamar as operações de AWS KMS API conectadas ao Amazon Monitron. O Amazon Monitron inclui as seguintes permissões em sua política gerenciada para uso do console.
```
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases",
"kms:CreateGrant"
],
"Resource": "*"
},
```
Para obter mais informações, consulte [Usar políticas do IAM com AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) no *Guia do desenvolvedor do AWS Key Management Service *.
+ Se excluir ou desativar a CMK, não será possível acessar os dados. Para obter mais informações, consulte [Exclusão do AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.
# Gerenciamento de identidade e acesso para o Amazon Monitron
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores de IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar os recursos do Amazon Monitron. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](security_iam_audience.md)
+ [Autenticação com identidades](security_iam_authentication.md)
+ [Gerenciamento do acesso usando políticas](security_iam_access-manage.md)
+ [Como o Amazon Monitron funciona com o IAM](security_iam_service-with-iam.md)
+ [Uso de funções vinculadas ao serviço para o Amazon Monitron](using-service-linked-roles.md)
# Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do Amazon Monitron](security_iam_service-with-iam.md#security_iam_troubleshoot)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon Monitron funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade do Amazon Monitron](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))
# Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
**Topics**
+ [Conta da AWS usuário root](security_iam_authentication-rootuser.md)
+ [Grupos e usuários do IAM](security_iam_authentication-iamuser.md)
+ [Perfis do IAM](security_iam_authentication-iamrole.md)
# Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
# Grupos e usuários do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
# Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Gerenciamento do acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
**Topics**
+ [Políticas baseadas em identidade](security_iam_access-manage-id-based-policies.md)
+ [Outros tipos de política](security_iam_access-manage-other-policies.md)
+ [Vários tipos de política](security_iam_access-manage-multiple-policies.md)
# Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
# Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
# Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon Monitron funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Amazon Monitron, você deve entender quais recursos do IAM estão disponíveis para uso com a Amazon Monitron. Para obter uma visão de alto nível de como o Amazon Monitron e AWS outros serviços funcionam com o IAM, [AWS consulte Serviços que funcionam com o IAM no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) do usuário *do IAM*.
**Topics**
+ [Políticas baseadas em identidade do Amazon Monitron](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos do Amazon Monitron](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em tags do Amazon Monitron](#security_iam_service-with-iam-tags)
+ [Perfis do IAM no Amazon Monitron](#security_iam_service-with-iam-roles)
+ [Exemplos de políticas baseadas em identidade do Amazon Monitron](#security_iam_id-based-policy-examples)
+ [Solução de problemas de identidade e acesso do Amazon Monitron](#security_iam_troubleshoot)
## Políticas baseadas em identidade do Amazon Monitron
Para especificar ações ou recursos permitidos ou negados, além das condições sob as quais as ações são permitidas ou negadas, use as políticas baseadas em identidades do IAM. O Amazon Monitron é compatível com ações, chaves de condição e recursos específicos. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
**Topics**
+ [Ações](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chaves de condição](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemplos](#security_iam_service-with-iam-id-based-policies-examples)
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
No Amazon Monitron, as ações de política usam o seguinte prefixo antes da ação: `monitron:`. Por exemplo, para conceder permissão a alguém para criar um projeto com a operação `CreateProject` do Amazon Monitron, inclua a ação `monitron:CreateProject` na política da pessoa. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Amazon Monitron define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
**nota**
Com a `deleteProject` operação, você deve ter as permissões (SSO) da Centro de Identidade do AWS IAM para exclusão. Sem essas permissões, a funcionalidade de exclusão ainda removerá o projeto. No entanto, isso não removerá os recursos do SSO e você poderá acabar com referências pendentes sobre o SSO.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"monitron:action1",
"monitron:action2"
]
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `List`, inclua a seguinte ação:
```
"Action": "monitron:List*"
```
### Recursos
O Amazon Monitron não suporta a especificação de recursos ARNs em uma política.
### Chaves de condição
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
O Amazon Monitron define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver uma lista de todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição do Amazon Monitron, consulte [Ações definidas pelo Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-actions-as-permissions) no *Guia do usuário do IAM*. Para saber com quais ações e recursos é possível usar a chave de condição, consulte [Chaves de condição para o Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-policy-keys).
### Exemplos
Para visualizar exemplos de políticas baseadas em identidade do Amazon Monitron, consulte [Exemplos de políticas baseadas em identidade do Amazon Monitron](#security_iam_id-based-policy-examples).
## Políticas baseadas em recursos do Amazon Monitron
O Amazon Monitron não oferece suporte a políticas baseadas em recursos.
## Autorização baseada em tags do Amazon Monitron
É possível associar tags a determinados tipos de atributos do Amazon Monitron para autorização. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `Amazon Monitron:TagResource/${TagKey}`, `aws:RequestTag/${TagKey}` ou `aws:TagKeys` chaves de condição.
## Perfis do IAM no Amazon Monitron
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usar credenciais temporárias com o Amazon Monitron
É possível utilizar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
O Amazon Monitron oferece suporte ao uso de credenciais temporárias.
### perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
O Amazon Monitron oferece suporte a funções vinculadas ao serviço.
### Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
O Amazon Monitron é compatível com os perfis de serviço.
## Exemplos de políticas baseadas em identidade do Amazon Monitron
Por padrão, os usuários e os perfis do IAM não têm permissão para criar ou modificar recursos do Amazon Monitron. Eles também não podem realizar tarefas usando Console de gerenciamento da AWS o. Um administrador do IAM deve conceder permissões aos usuários, grupos ou perfis do IAM que precisam delas. Em seguida, esses usuários, grupos ou perfis podem executar operações específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Melhores práticas de políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso do console do Amazon Monitron](#security_iam_id-based-policy-examples-console)
+ [Exemplo: Listar todos os projetos do Amazon Monitron](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Exemplo: Listar projetos do Amazon Monitron com base em tags](#security_iam_id-based-policy-examples-view-widget-tags)
### Melhores práticas de políticas
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Monitron em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
### Uso do console do Amazon Monitron
Para configurar o Amazon Monitron usando o console, conclua o processo de configuração inicial usando um usuário de alto privilégio (como um com a política da `AdministratorAccess` gerenciada anexada).
Para acessar o console do Amazon Monitron para day-to-day operações após a configuração inicial, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do Amazon Monitron em sua AWS conta e inclua um conjunto de permissões relacionadas ao IAM Identity Center. Se você criar uma política baseada em identidade que seja mais restritiva que essas permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política. Para a funcionalidade básica do Amazon Monitron Console, você precisa anexar a política gerenciada da `AmazonMonitronFullAccess`. Dependendo das circunstâncias, você também pode precisar de permissões adicionais para o serviço Organizations and SSO. Entre em contato com o AWS suporte se precisar de mais informações.
### Exemplo: Listar todos os projetos do Amazon Monitron
Este exemplo de política concede a um usuário do IAM em sua AWS conta permissão para listar todos os projetos em sua conta.
### Exemplo: Listar projetos do Amazon Monitron com base em tags
Você pode usar condições em sua política baseada em identidade para controlar o acesso aos recursos do Amazon Monitron com base em etiquetas. Este exemplo mostra como é possível criar uma política que permite listar os projetos. No entanto, a permissão será concedida somente se a tag `location` do projeto tiver o valor do `Seattle`. Essa política também concede as permissões necessárias concluir essa ação no console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListProjectsInConsole",
"Effect": "Allow",
"Action": "monitron:ListProjects",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/location": "Seattle"
}
}
}
]
}
```
------
Para obter mais informações, consulte [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos da política JSON do IAM: Condição) no *Guia do usuário do IAM*.
## Solução de problemas de identidade e acesso do Amazon Monitron
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você possa encontrar ao trabalhar com a Amazon Monitron e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Amazon Monitron](#security_iam_troubleshoot-no-permissions)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Monitron](#security_iam_troubleshoot-cross-account-access)
### Não tenho autorização para executar uma ação no Amazon Monitron
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `monitron:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `monitron:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
### Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do Amazon Monitron
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon Monitron é compatível com esses recursos, consulte [Como o Amazon Monitron funciona com o IAM](#security_iam_service-with-iam).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Uso de funções vinculadas ao serviço para o Amazon Monitron
O Amazon Monitron usa funções vinculadas a [serviços AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Um perfil vinculado ao serviço é um tipo especial de perfil do IAM vinculado diretamente ao Amazon Monitron. As funções vinculadas ao serviço são predefinidas pelo Amazon Monitron e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Um perfil vinculado ao serviço facilita a configuração do Amazon Monitron porque você não precisa adicionar as permissões necessárias manualmente. O Amazon Monitron define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Amazon Monitron pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para obter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que apresentam **Sim** na coluna **Perfis vinculados a serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
**Topics**
+ [Permissões de perfil vinculado ao serviço para o Amazon Monitron](slr-permissions.md)
+ [Criação de uma função vinculada ao serviço para o Amazon Monitron](create-slr.md)
+ [Edição de uma função vinculada ao serviço do Amazon Monitron](edit-slr.md)
+ [Exclusão de uma função vinculada ao serviço do Amazon Monitron](delete-slr.md)
+ [Regiões com suporte para os perfis vinculados a serviço do Amazon Monitron](slr-regions.md)
+ [AWS políticas gerenciadas para o Amazon Monitron](monitron-managed-policies.md)
+ [Atualizações do Amazon Monitron para AWS políticas gerenciadas](managed-policy-updates.md)
# Permissões de perfil vinculado ao serviço para o Amazon Monitron
O Amazon Monitron usa a função vinculada ao serviço chamada **AWSServiceRoleForMonitron[\$1 \$1SUFFIX\$1] — o Amazon** Monitron usa AWSService RoleForMonitron para acessar outros AWS serviços, incluindo Cloudwatch Logs, Kinesis Data Streams, chaves KMS e SSO. Para obter mais informações sobre a política, consulte o *Guia [AWSServiceRoleForMonitronPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForMonitronPolicy.html)de referência de políticas AWS gerenciadas*
A função vinculada ao serviço AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] confia nos seguintes serviços para assumir a função:
+ `monitron.amazonaws.com` ou `core.monitron.amazonaws.com`
A política de permissões de função nomeada MonitronServiceRolePolicy permite que o Amazon Monitron conclua as seguintes ações nos recursos especificados:
+ Ação: Amazon CloudWatch Logs `logs:CreateLogStream` e`logs:CreateLogGroup`, `logs:PutLogEvents` no grupo de registros, no CloudWatch stream de registros e nos eventos de log, no caminho /aws/monitron/ \$1
A política de permissões de função chamada MonitronServiceDataExport - KinesisDataStreamAccess permite que o Amazon Monitron conclua as seguintes ações nos recursos especificados:
+ Ação: Amazon Kinesis `kinesis:PutRecord`, `kinesis:PutRecords` e `kinesis:DescribeStream` no fluxo de dados do Kinesis especificado para exportação de dados ao vivo.
+ Ação: Amazon AWS KMS `kms:GenerateDataKey` para a AWS KMS chave usada pelo stream de dados Kinesis especificado para exportação de dados ao vivo
+ Ação: o Amazon IAM `iam:DeleteRole` para excluir o perfil vinculado ao serviço em si quando não for usado
A política de permissões de função nomeada AWSService RoleForMonitronPolicy permite que o Amazon Monitron conclua as seguintes ações nos recursos especificados:
+ Ação: IAM Identity Center`sso:GetManagedApplicationInstance`,`sso:GetProfile`,`sso:ListProfiles`,`sso:AssociateProfile`,`sso:ListDirectoryAssociations`,`sso:ListProfileAssociations`,`sso-directory:DescribeUsers`,, `sso-directory:SearchUsers``sso:CreateApplicationAssignment`, e `sso:ListApplicationAssignments` para acessar os usuários do IAM Identity Center associados ao projeto
**nota**
Adicione `sso:ListProfileAssociations` para permitir que o Amazon Monitron liste associações com a instância do aplicativo subjacente ao projeto do Amazon Monitron.
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
# Criação de uma função vinculada ao serviço para o Amazon Monitron
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa um recurso que exige suas permissões para chamar outros AWS serviços em seu nome no Amazon Monitron no Console de gerenciamento da AWS, o Amazon Monitron cria a função vinculada ao serviço para você.
# Edição de uma função vinculada ao serviço do Amazon Monitron
O Amazon Monitron não permite que você edite a função vinculada ao serviço AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
# Exclusão de uma função vinculada ao serviço do Amazon Monitron
Você não precisa excluir manualmente a função AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]. Quando você exclui um projeto do Amazon Monitron criado por meio do Amazon Monitron no Console de gerenciamento da AWS, o Amazon Monitron limpa os recursos e exclui a função vinculada ao serviço para você.
Você também pode usar o console do IAM AWS CLI ou a AWS API para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e depois excluí-la manualmente.
**nota**
Se o serviço do Amazon Monitron estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir recursos do Amazon Monitron usados pelo AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]**
+ Exclua projetos do Amazon Monitron usando essa função vinculada ao serviço.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função vinculada ao serviço AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
# Regiões com suporte para os perfis vinculados a serviço do Amazon Monitron
O Amazon Monitron é compatível com as funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com//general/latest/gr/rande.html#connect_region).
O Amazon Monitron não oferece suporte usando funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Você pode usar a função AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] nas seguintes regiões.
****
| Nome da região | Identidade da região | Support no Amazon Monitron |
| --- | --- | --- |
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Não |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Não |
| Oeste dos EUA (Oregon) | us-west-2 | Não |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Não |
| Ásia-Pacífico (Osaka) | ap-northeast-3 | Não |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Não |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Não |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Não |
| Canadá (Central) | ca-central-1 | Não |
| Europa (Frankfurt) | eu-central-1 | Não |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Não |
| Europa (Paris) | eu-west-3 | Não |
| América do Sul (São Paulo) | sa-east-1 | Não |
| AWS GovCloud (US) | us-gov-west-1 | Não |
# AWS políticas gerenciadas para o Amazon Monitron
Você pode anexar AmazonMonitronFullAccess às suas entidades do IAM. Essa política concede permissões *administrativas* que permitem acesso a todos os recursos e operações do Amazon Monitron.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "monitron.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"monitron:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"monitron.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "AWSSSOPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:ListStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/monitron/*"
}
]
}
```
------
# Atualizações do Amazon Monitron para AWS políticas gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Monitron desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre mudanças nesta página, assine o feed RSS na página Histórico de documentos do Amazon Monitron.
| Alteração | Descrição | Data |
| --- | --- | --- |
| AWSServiceRoleForMonitronPolicy - Atualização de uma política existente | Adicionado `sso:CreateApplicationAssignment` e `sso:ListApplicationAssignments` à [política de permissões de funções](https://docs.aws.amazon.com/Monitron/latest/user-guide/using-service-linked-roles.html). | 30 de setembro de 2024 |
| AmazonMonitronFullAccess - Atualização de uma política existente | O Amazon Monitron adicionou permissões para descrever e listar o Kinesis Data Streams, descrever, obter e CloudWatch criar grupos de log, streams de log e eventos de log.Você deve usar essas permissões para usar o console do Amazon Monitron para exibir informações sobre Kinesis Data Streams e Logs. CloudWatch | 8 de junho de 2022 |
# Registrar em log e monitorar no Amazon Monitron
O monitoramento é uma parte importante para manter a confiabilidade, a disponibilidade e o desempenho dos aplicativos Amazon Monitron. Para monitorar as ações do console e do aplicativo móvel Amazon Monitron, você pode usar o AWS CloudTrail.
CloudTrail os registros fornecem um registro das ações realizadas por um usuário, função ou AWS serviço no Amazon Monitron. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Amazon Monitron, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais. Para obter mais informações, consulte [Registrando ações do Amazon Monitron com AWS CloudTrail](logging-using-cloudtrail.md).
# Validação de conformidade do Amazon Monitron
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [Documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Segurança da infraestrutura no Amazon Monitron
Como um serviço gerenciado, o Amazon Monitron é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar o Amazon Monitron pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
# Práticas recomendadas de segurança para o Amazon Monitron
O Amazon Monitron fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
As seguintes práticas recomendadas do Amazon Monitron podem ajudar a evitar incidentes de segurança.
+ Ao criar um diretório Centro de Identidade do AWS IAM (IAM Identity Center) de usuários para o Amazon Monitron, habilite a autenticação multifator (MFA) para o diretório para melhorar a segurança do diretório.
+ Esteja ciente de que todos os administradores de projetos e sites que usam o aplicativo móvel Amazon Monitron terão acesso de leitura a todos os usuários da sua organização que estão listados no diretório de usuários que você escolher ao configurar seu projeto. É altamente recomendável usar um diretório isolado se você quiser limitar o acesso às informações da organização do usuário.
+ Devido ao perigo de ataques de phishing, nos quais um invasor envia um e-mail se passando por um e-mail de convite do projeto Amazon Monitron para seus usuários, avise os usuários para garantir que o nome do diretório esteja visível na tela de login antes de inserirem suas credenciais de login.
+ Como o aplicativo móvel Amazon Monitron é executado em um smartphone e tem acesso ao seu projeto, faça com que todos os usuários habilitem o bloqueio de tela para proteger o acesso quando não estiver em uso.